SapphireStealer Malware IOCs

Cisco Talos отмечает увеличение числа новых похитителей информации, предлагаемых для продажи или аренды на различных подпольных форумах и торговых площадках. Устройства кражи часто рассматриваются как привлекательный вариант для участников угроз с финансовой мотивацией, поскольку они обеспечивают простое средство компрометации и распространения конфиденциальной информации и данных, связанных с учетными записями, среди противников.

SapphireStealer - пример нового похитителя информации, предназначенного в первую очередь для кражи различных баз учетных данных браузера и файлов, которые могут содержать конфиденциальную информацию о пользователе. Кодовая база SapphireStealer была опубликована на GitHub 25 декабря 2022 года.

• SapphireStealer, похититель информации с открытым исходным кодом, все чаще встречается в публичных репозиториях вредоносных программ с момента своего первого публичного релиза в декабре 2022 года.
• Такие вредоносные программы, как SapphireStealer, могут использоваться для получения конфиденциальной информации, в том числе корпоративных учетных данных, которые часто перепродаются другим угрожающим субъектам, использующим этот доступ для дополнительных атак, в том числе операций, связанных со шпионажем или вымогательством/выкупом.
• Мы с умеренной долей уверенности считаем, что SapphireStealer используют несколько организаций, которые по отдельности совершенствуют и модифицируют исходную кодовую базу, расширяя ее для поддержки дополнительных механизмов эксфильтрации данных, что приводит к созданию нескольких вариантов.
• В некоторых случаях SapphireStealer поставляется в рамках многоступенчатого процесса заражения, причем для доставки SapphireStealer потенциальным жертвам угрожающие организации используют программы загрузки вредоносного ПО с открытым исходным кодом, такие как FUD-Loader.

Indicators of Compromise

Domains

• portfolio-roman.ml

URLs

• https://discord.com/api/webhooks/1123664977618817094/La_3GaXooH42oGRiy8o7sazh1Cg0V_mzkH67VryfSB1MCOlYee1_JPMCNsfOTji7J9jO
• https://portfolio-roman.ml/img/new_game.exe

SHA256

• 0cd26bb7a3a873d60a150ad2e776a37de07f1317639d75f3a0df4939982ac0bf
• 0e27b766a44e3524aee546e3279bcbca22255fa7171b8c6013efa7708e37c633
• 2c1c171db85455aa2676e02693c8a9b7d62055fee843a17097dba29915637acf
• 40c2f1ee94d5f5283af9b6f7c660aba3921138fc1fcc66dab2489fc9e421589a
• 4966faf9e999db2f059162a8d1e17c44d8f77697ec268ff55f2f4efdb96797a8
• 4ed3e2b343a8bff981a139af0f871bbe76e3e93ac0d6ad4c16acbb1ec0a74bff
• 53c1fca1263a535ac740916a24b28807246a204c6fa22b7374dc17fe913375d4
• 5d0719c5e29e96b81ec8198e8bba5d531a2dc433c3107be6263dee33b54d578a
• 7392019700b493b87ba4a53cc25e7cc639ce58da390b1b3780eaf8ee0889dcf3
• 8749bc50fc2b1f0a5f7a1c3c1a3132c45c30ba7dc7a849523bb42cf617fc4a65
• 920a9ec15ffeb5ad880c9368238c3b1ab189d429bd3ef99ac9ab16615eeacedf
• 94107e993c42fc6e0634be29191410b50c076e129260d23351baa9f6dc7c883e
• a00f787d5990ee8303bfd5cdc8eda650317434482e6f82cc53dfcf565006896d
• b4872f6bb69b449b9c13ac694a8e54a22dce012cba48a5e8bce0607690d08254
• d453919141d456afce8476b4af9082b4af8d4c644e8468aa62259d704c22e074
• d6900deab788bec8bd5343a64423ebea6b323603c10b3cca03c08ebe0774bb5a
• db94c26dc522719a77f7585bff8884400f389dab012a880734bd9dbc3e52d93c
• e596b3f12b96bf5526285df19dc9674aaaafeb8375eeac4face8eb4285c63e3b
• e97941f812323e05ba4e83b138e8bb794b88efcd56980d07313b5acc965b2661
• f70651906b9cbf25b3db874e969af7a14caac21bf1db328e4664db54566a15b0