Οι Infostealers είναι από τα πιο επικερδή κακόβουλα λογισμικά για τους κυβερνοεγκληματίες.

Είναι μια πραγματικότητα ότι οι εγκληματίες του κυβερνοχώρου γενικά προτιμούν τις δοκιμασμένες συνταγές υποκλοπής πληροφοριών και δεδομένων που ήδη γνωρίζουν ότι αποδίδουν.

Όμως, παρόλο που οι infostealers θεωρούνται δοκιμασμένοι και αποδεδειγμένα αποτελεσματικοί, τα λογισμικά αυτά συνεχίζουν να εξελίσσονται.

Από τον Sharp Stealer στον Sharpil RAT

Ο πιο πρόσφατος infostealer είναι ο Sharp Stealer και η νεότερη εκδοχή του είναι ο Sharpil RAT.

Πρόκειται για μια μη κρυπτογραφημένη εφαρμογή .NET γραμμένη σε C#, εκτελείται στο παρασκήνιο και προσπαθεί αμέσως να συνδεθεί με ένα Telegram bot.

Το bot αυτό επικοινωνεί με τον επιτιθέμενο και στέλνει εντολές για τη συλλογή πληροφοριών όπως:

  • Πληροφορίες συστήματος
  • Πληροφορίες εγκατεστημένων browsers (όπως Chrome, Yandex, Brave, Edge, κ.α) και την
  • Γεωγραφική τοποθεσία του θύματος.

Χρησιμοποιεί τη μέθοδο ParseLastMessage για να διαβάσει JSON από το Telegram API και να εξάγει την τελευταία εντολή.

RAT ή απλώς ένας εξελιγμένος stealer;

Αν και ο Sharpil RAT χαρακτηρίζεται ως RAT (Remote Access Trojan), η λειτουργία του είναι πιο κοντά σε stealer, καθώς δεν παρέχει πλήρη απομακρυσμένο έλεγχο του συστήματος, αλλά κυρίως εξαγωγή δεδομένων.

Ο αυτοαποκαλούμενος δημιουργός του πουλάει το Sharp Stealer για $10 (ενοικίαση) ή $30 (μόνιμη άδεια), ισχυριζόμενος πως είναι ελαφριά εφαρμογή .NET που στέλνει δεδομένα απευθείας στο Telegram bot, χωρίς χρήση εξυπηρετητή.

΄Ηδη εντοπίζονται πιο Εξελιγμένες Εκδόσεις

Στο VirusTotal εντοπίστηκε κακόβουλο λογισμικό που μοιράζεται τον ίδιο κώδικα και στυλ με τον Sharpil RAT, αλλά με επιπλέον δυνατότητες:

  • Κρυπτογράφηση με βιβλιοθήκη Bcrypt
  • Μετονομασία μεταβλητών για απόκρυψη λειτουργίας
  • Επέκταση συλλογής δεδομένων, όπως:
    • Πληροφορίες συστήματος & Browsers
    • Discord tokens, email, πληρωμές
    • Gaming λογαριασμοί (Epic Games, Steam, Roblox, Ubisoft, Minecraft, VimeWorld)
    • Messengers (Telegram, Viber)
    • VPN clients (CyberGhost, ProtonVPN, NordVPN κ.ά.)
    • Crypto wallets
    • FTP clients (FileZilla, Total Commander)

Τα δεδομένα αρχειοθετούνται σε ZIP και αποστέλλονται στο Telegram.

Συμπέρασμα

Το Sharp Project δεν έχει ακόμα αποκτήσει ευρεία απήχηση, δεν παρουσιάζει σημαντική δραστηριότητα σε darknet forums και δεν περιλαμβάνει μηχανισμούς απόκρυψης από antivirus ή sandbox περιβάλλοντα.

Ακόμα είναι νέο και ανώριμο, ωστόσο αν συνεχίσει να εξελίσσεται, ίσως το δούμε να εξαπλώνεται στο μέλλον.

,,