Cyber Security

Uno zaffiro particolarmente pericoloso

Gli hackers stanno perfezionando le capacità di un infostealer open source chiamato SapphireStealer, sviluppando una miriade di varianti che contribuiranno a peggiorare il panorama del crimine informatico, ponendo nuove sfide in termini di cyber difesa.

Da quando un hacker Russo di nome Roman Maslov lo ha pubblicato per la prima volta sul clear web alla fine dello scorso anno, gli hacker hanno adottato SapphireStealer, manipolandolo e rilasciando nuove versioni in repository pubblici.

Ciò ha creato un circolo pericoloso in cui il malware continua a diventare più potente e più aggressori vengono attratti da esso, portando a conseguenze imprevedibili.

Sempre più criminali informatici sono interessati a rubare credenziali, token di accesso, nomi utente, password. L’intento è lucrare dalla vendita di queste informazioni a gruppi ransomware che, a loro volta,  li utilizzano per compiere attacchi sempre più mirati ed efficaci.

Cos’è SapphireStealer

Si tratta di un malware di tipo infostealer che agisce in maniera subdola, sottraendo informazioni riservate e personali dai computer degli utenti.

Immagine | Unsplash – cryptohack.it

Il relativo codice è stato pubblicato su GitHub il 25 dicembre 2022.

Come spesso accade in seguito al rilascio di nuovo codice malware open source, gli hacker hanno agito rapidamente, iniziando a sperimentare questo stealer, estendendolo per supportare funzionalità aggiuntive e implementando nuovi strumenti per rendere più difficile il rilevamento delle infezioni.

Le nuove versioni compilate di SapphireStealer hanno iniziato a essere caricate su repository di malware pubblici a partire da metà gennaio 2023, con un’attività di caricamento costante osservata fino alla prima metà del 2023. Gli elementi di compilazione individuati in molti esemplari indicano che questa base di codice malware è attualmente utilizzata da più autori di minacce. Diverse varianti sono già in circolazione e i criminali stanno migliorando la sua efficienza ed efficacia.

Mentre la maggior parte dei campioni presentava timestamp di compilazione falsificati, l’utilizzo della data in cui gli esemplari sono stati inizialmente caricati su repository pubblici e gli artefatti di compilazione hanno permesso di raggruppare i malware e identificare attività di sviluppo distinte.

Lo stealer è stato scritto in .NET e può essere scaricato gratuitamente da chiunque. Semplice ma efficace, ha dato anche agli hacker non esperti la possibilità di acquisire file nei formati più popolari – .pdf, .doc, .jpg – nonché screenshots e credenziali dai browser Chromium come Google Chrome e Microsoft Edge.

Il malware impacchetta le informazioni sottratte in un’e-mail e le invia agli avversari insieme a varie informazioni sulla macchina presa di mira: indirizzo IP, versione del sistema operativo e così via. Infine, dopo l’esfiltrazione, SapphireStealer elimina le prove della sua attività.

Come si è evoluto SapphireStealer

Da quando i primi campioni hanno iniziato a essere caricati su repository di malware pubblici, sono state osservate diverse modifiche apportate da vari attori. La maggior parte dello sviluppo sembra essersi concentrato su una esfiltrazione dei dati più efficiente e sulla generazione di alerts Telegram a favore degli aggressori, che possono quindi controllare i diversi status di operatività dello strumento.

Immagine | Unsplash – cryptohack.it

In un caso, è stato osservato un campione di SapphireStealer in cui i dati raccolti sono stati esfiltrati utilizzando l’API webhook di Discord.

Nella prima metà del 2023, SapphireStealer è diventato più robusto, articolato e pericoloso, ma anche più accessibile.

Man mano che SapphireStealer cresce e si diffonde consente attacchi sempre più subdoli ed efficaci nei confronti di aziende ed enti governativi a livello globale.

Le Organizzazioni non devono trascurare la pericolosità di malware di questo tipo poiché essi sono spesso precursori di attacchi ransomware e di spionaggio.

Marco Marra

Appassionato di tecnologia ed esperto di Cyber Security con molti anni di esperienza nella prevenzione e gestione delle minacce cibernetiche. Altamente qualificato grazie alla continua formazione tecnica ed alle innumerevoli collaborazioni su progetti di sicurezza di importanti dimensioni in aziende italiane e multinazionali. Costantemente impegnato in attività di hacking etico e nella progettazione di sistemi di difesa Cyber Fisici

Recent Posts

Intelligenza artificiale di Apple: tutte le nuove funzioni da conoscere

Apple introduce la sua intelligenza artificiale: ecco tutti i dispositivi su cui è disponibile e…

16 ore ago

Giornata mondiale del backup: ecco cosa fare per tenere al sicuro i propri dati

Oggi, 31 marzo, è la Giornata mondiale del backup, un promemoria per adottare buone abitudini…

2 giorni ago

Troppe immagini generate su ChatGPT: OpenAI mette dei limiti

OpenAI è stata costretta a porre dei limiti alla generazione di immagini su ChatGPT per…

5 giorni ago

AI Overview arriva in Italia: ecco come funziona

Google ha lanciato la funzione AI Overview in Italia e in altri otto paesi europei:…

6 giorni ago

AI e diritti d’autore, la SIAE prevede una perdita di 22 miliardi a livello globale entro il 2028

Entro il 2028, autori ed editori potrebbero affrontare una perdita di 22 miliardi di euro…

7 giorni ago

ChatGPT causa dipendenza e solitudine? OpenAI studia tutti i rischi

Due studi di OpenAI e MIT Media Lab hanno analizzato le interazioni tra utenti e…

1 settimana ago