Sapphire Werewolf, usa strumenti open source per rubare dati

Gli esperti riferiscono che il gruppo di hacker Sapphire Werewolf, attivo dal marzo 2024, ha già attaccato più di 300 organizzazioni russe dei settori dell’istruzione, dell’informatica, dell’industria militare e aerospaziale. L’obiettivo principale degli hacker è lo spionaggio e utilizzano uno strumento open source altamente modificato per rubare dati.

Secondo gli analisti di BI.ZONE, gli attacchi Sapphire Werewolf iniziano solitamente con e-mail di phishing con collegamenti creati utilizzando un servizio di abbreviazione URL (t.ly). Gli utenti caduti nella truffa credevano di scaricare documenti ufficiali, ma invece hanno scaricato un file dannoso che, una volta aperto, installava l’infostealer Amethyst.

“Dalla fine del 2023 all’inizio del 2024, i gruppi finalizzati allo spionaggio hanno iniziato a utilizzare attivamente i ladri di informazioni. Tuttavia gli aggressori non devono necessariamente sviluppare tali programmi da zero. Ad esempio, il ladro Amethyst, utilizzato dal gruppo Sapphire Werewolf, è una modifica del malware open source SapphireStealer, che gli aggressori hanno modificato per adattarli ai loro scopi”, spiega Oleg Skulkin, responsabile di BI.ZONE Threat Intelligence.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Per evitare che le vittime si insospettissero, contemporaneamente al download del malware è stato aperto un “documento distraente”. La decisione sull’avvio di un procedimento penale, un volantino della Commissione elettorale centrale o un decreto del Presidente della Federazione Russa. Gli aggressori hanno utilizzato il servizio di abbreviazione degli URL per lo stesso scopo: consentiva di far sembrare legittimi i collegamenti.

L’infostealer ruba i dati dai dispositivi compromessi, inclusi database di password, cookie, cronologia del browser, siti popolari e pagine salvate (dai browser Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa, Edge Chromium, Torch, Amigo, CocCoc, Comodo Dragon , Epic Privacy Browser, Elements Browser, CentBrowser, 360 Chrome, 360 Browser), testo e altri documenti, nonché file di configurazione, inclusi FileZilla e SSH, e persino dati che consentono l’accesso all’account Telegram della vittima. Tutte queste informazioni sono state raccolte in un archivio e trasferite al server di controllo degli hacker, il cui ruolo è svolto da un bot di Telegram.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli