رصد باحثون في سيسكو تالوس Cisco Talos تهديدًا جديدًا يدعى سابفير ستيلر (SapphireStealer)، وهو برنامج سرقة معلومات مفتوح المصدر.
بدأ تحميل الإصدارات المجمعة حديثًا من SapphireStealer إلى مستودعات البرامج الضارة العامة بدءًا من منتصف يناير 2023، مع ملاحظة نشاط تحميل متسق خلال النصف الأول من عام 2023.
يمكن استخدام البرمجيات الضارة مثل سابفير ستيلر للحصول على معلومات حساسة، مثل: (معلومات المضيف، لقطات الشاشة، بيانات اعتماد المتصفح المخزنة مؤقتا، الملفات المخزنة على النظام والتي تتطابق مع قائمة محددة مسبقًا من امتدادات الملفات) بالإضافة إلى سرقة بيانات اعتماد الشركات، والتي غالبًا ما يتم إعادة بيعها لمهاجمين آخرين يستغلون الوصول لتنفيذ هجمات إضافية، بما في ذلك العمليات المتعلقة بالتجسس أو الفدية/الابتزاز.
هناك عدة كيانات تستخدم سابفير ستيلر، وقد قامت بتحسين وتعديل قاعدة الشفرة الأصلية بشكل منفصل، مما أدى إلى توسيعها لدعم آليات إخراج بيانات إضافية مما أدى إلى إنشاء عدة تغييرات.
في بعض الحالات، يبدو أن سابفير ستيلر يتم تسليمه كجزء من عملية العدوى متعددة المراحل، حيث يستغل المهاجمون البرامج الضارة ذات المصدر المفتوح لتنزيل برنامج سابفير ستيلر للضحايا المحتملين.
فيما يلي الطرق التي يمكن من خلالها اكتشاف هذا التهديد وحظره:
- تعتبر Cisco Secure Endpoint (المعروفة سابقًا باسم AMP for Endpoints) مناسبة بشكل مثالي لمنع تنفيذ البرامج الضارة المفصلة في هذا المنشور. جرب Secure Endpoint مجانًا هنا.
- يمنع فحص الويب Cisco Secure Web Appliance الوصول إلى مواقع الويب الضارة ويكتشف البرامج الضارة المستخدمة في هذه الهجمات.
- يمكن لـ Cisco Secure Email (المعروف سابقًا باسم Cisco Email Security) حظر رسائل البريد الإلكتروني الضارة المرسلة من قبل جهات التهديد كجزء من حملتهم. يمكنك تجربة البريد الإلكتروني الآمن مجانًا هنا .
- يمكن لأجهزة Cisco Secure Firewall (المعروفة سابقًا باسم Next-Generation Firewall وFirepower NGFW) مثل Threat Defense Virtual و Adaptive Security Appliance و Meraki MX اكتشاف الأنشطة الضارة المرتبطة بهذا التهديد.
- تحدد Cisco Secure Malware Analytics (Threat Grid) الثنائيات الضارة وتوفر الحماية لجميع منتجات Cisco Secure.
- تعمل Umbrella ، بوابة الإنترنت الآمنة (SIG) من Cisco، على منع المستخدمين من الاتصال بالنطاقات الضارة وعناوين IP وعناوين URL، سواء كان المستخدمون متصلين بشبكة الشركة أو خارجها. قم بالتسجيل للحصول على نسخة تجريبية مجانية من Umbrella هنا .
- تقوم Cisco Secure Web Appliance (المعروفة سابقًا باسم Web Security Appliance) بحظر المواقع التي يحتمل أن تكون خطرة تلقائيًا وتختبر المواقع المشبوهة قبل وصول المستخدمين إليها.