O malware SapphireStealer, baseado em .NET e de código aberto, está sendo usado por várias entidades para aprimorar suas capacidades e criar suas próprias variantes personalizadas.

De acordo com Edmund Brumaghin, pesquisador da Cisco Talos, o SapphireStealer pode ser usado para obter informações sensíveis, incluindo credenciais corporativas.

Essas informações são frequentemente revendidas a outros atores de ameaças para ataques adicionais, como operações relacionadas a espionagem ou ransomware.

O SapphireStealer representa uma evolução do modelo de cibercrime como serviço, permitindo que outros atores de ameaças monetizem os dados roubados para distribuir ransomware e realizar outras atividades cibernéticas maliciosas.

O malware possui características semelhantes a outros malwares do tipo “stealer” disponíveis na deep web, incluindo a capacidade de coletar informações do host, dados do navegador, arquivos e capturas de tela.

O fato de seu código-fonte ter sido publicado gratuitamente em dezembro de 2022 permitiu que que os cibercriminosos melhorassem o malware, tornando-o difícil de detectar.

Isso inclui a adição de métodos flexíveis de exfiltração de dados usando um webhook do Discord ou a API do Telegram.