Sharpil RAT: Νέος «παίκτης» στην αγορά

Details: Category: CyberSecurity; Written by: Manos Meimarakis; Created: 12 April 2025

Είναι μια πραγματικότητα ότι οι εγκληματίες του κυβερνοχώρου γενικά προτιμούν τις δοκιμασμένες συνταγές υποκλοπής πληροφοριών και δεδομένων που ήδη γνωρίζουν ότι αποδίδουν.

Manos Meimarakis

Investigative Journalist

OSINT | CYBERSECURITY | COUNTERTERRORISM

«The success of intelligence is not the information or even secrets that it collects but the value it adds to decision making»

Παρόλο λοιπόν που οι infostealers θεωρούνται «δοκιμασμένοι και αποδεδειγμένα αποτελεσματικοί», τα λογισμικά αυτά συνεχίζουν να εξελίσσονται.

Ο πιο πρόσφατος infostealer είναι ο Sharp Stealer και η νεότερη εκδοχή του είναι ο Sharpil RAT.

Πρόκειται για μια μη κρυπτογραφημένη εφαρμογή .NET γραμμένη σε C#, εκτελείται στο παρασκήνιο και προσπαθεί αμέσως να συνδεθεί με ένα Telegram bot.

Το bot αυτό επικοινωνεί με τον επιτιθέμενο και στέλνει εντολές για τη συλλογή πληροφοριών όπως: πληροφορίες συστήματος, πληροφορίες εγκατεστημένων browsers (όπως Chrome, Yandex, Brave, Edge, κ.α), και την γεωγραφική τοποθεσία του θύματος.

Χρησιμοποιεί τη μέθοδο ParseLastMessage για να διαβάσει JSON από το Telegram API και να εξάγει την τελευταία εντολή.

Αν και ο Sharpil RAT χαρακτηρίζεται ως RAT (Remote Access Trojan), η λειτουργία του είναι πιο κοντά σε stealer, καθώς δεν παρέχει πλήρη απομακρυσμένο έλεγχο του συστήματος, αλλά κυρίως εξαγωγή δεδομένων.

Οι Infostealers είναι από τα πιο επικερδή κακόβουλα λογισμικά για τους κυβερνοεγκληματίες.

Ο αυτοαποκαλούμενος δημιουργός του πουλάει το Sharp Stealer για $10 (ενοικίαση) ή $30 (μόνιμη άδεια), ισχυριζόμενος πως είναι ελαφριά εφαρμογή .NET που στέλνει δεδομένα απευθείας στο Telegram bot, χωρίς χρήση εξυπηρετητή.

Ωστόσο, στο VirusTotal εντοπίσθηκε κακόβουλο λογισμικό το οποίο μοιράζεται τον ίδιο κώδικα και στυλ με τον Sharpil RAT, αλλά έχει περισσότερες δυνατότητες και χρησιμοποιεί: κρυπτογράφηση με βιβλιοθήκη Bcrypt, μετονομασία μεταβλητών για απόκρυψη λειτουργίας και αναζητά πληροφορίες συστήματος, Browsers, Discord tokens, emails και πληρωμές, Gaming λογαριασμούς (Epic Games, Steam, Roblox, Ubisoft, Minecraft, VimeWorld), Messengers (Telegram, Viber), VPN (CyberGhost, ProtonVPN, NordVPN κ.ά.), Πορτοφόλια κρυπτονομισμάτων, FTP clients (FileZilla, TotalCommander).

Τα δεδομένα αρχειοθετούνται σε ZIP αρχείο και αποστέλλονται στο Telegram.

Το Sharp Project δεν έχει αποκτήσει ακόμα μεγάλη απήχηση, δεν υπάρχει σημαντική παρουσία σε darknet φόρουμ και δεν διαθέτει μηχανισμούς απόκρυψης από antivirus ή sandbox περιβάλλοντα.

Ακόμα είναι νέο και ανώριμο, ωστόσο αν συνεχίσει να εξελίσσεται, ίσως το δούμε να εξαπλώνεται στο μέλλον.