Prynt Stealer chứa một cửa hậu để lấy cắp dữ liệu của nạn nhân bị đánh cắp bởi tội phạm mạng khác

Prynt Stealer

Các nhà nghiên cứu đã phát hiện ra một cửa hậu riêng dựa trên kênh Telegram trong ăn cắp thông tin, có tên là Prynt Stealer, mà nhà phát triển của nó đã thêm vào với ý định bí mật đánh cắp bản sao dữ liệu đã lấy cắp của nạn nhân khi bị tội phạm mạng khác sử dụng.

Các nhà nghiên cứu của Zscaler ThreatLabz, Atinderpal Singh và Brett Stone, cho biết: “Mặc dù hành vi không đáng tin cậy này không có gì mới trong thế giới tội phạm mạng, nhưng dữ liệu của nạn nhân cuối cùng lại nằm trong tay của nhiều kẻ đe dọa, làm tăng nguy cơ xảy ra một hoặc nhiều cuộc tấn công quy mô lớn”. -Gross nói trong một báo cáo mới.

Prynt Stealer, được đưa ra ánh sáng vào đầu tháng 4 này, đi kèm với các khả năng ghi lại các lần gõ phím, lấy cắp thông tin đăng nhập từ các trình duyệt web và hút dữ liệu từ Discord và Telegram. Nó được bán với giá 100 đô la cho giấy phép một tháng và 900 đô la cho đăng ký trọn đời.

Phân tích của công ty Prynt Stealer cho thấy rằng cơ sở mã của nó có nguồn gốc từ hai họ mã nguồn mở khác là AsyncRAT và StormKitty, với các bổ sung mới được kết hợp bao gồm kênh Telegram cửa sau để thu thập thông tin bị các tác nhân khác đánh cắp cho tác giả của phần mềm độc hại.

Xem tiếp:   Okta cho biết vi phạm bảo mật của tin tặc $ Lapsus chỉ ảnh hưởng đến hai khách hàng của nó

Prynt Stealer

Mã chịu trách nhiệm cho việc lọc dữ liệu Telegram được cho là sao chép từ StormKitty, nhưng có một vài thay đổi nhỏ.

Ngoài ra còn có một tính năng chống phân tích trang bị cho phần mềm độc hại liên tục theo dõi danh sách quy trình của nạn nhân đối với các quy trình như taskmgr, netstat và wirehark, và nếu bị phát hiện, hãy chặn các kênh giao tiếp điều khiển và lệnh Telegram.

Trong khi những kẻ xấu đã sử dụng các chiến thuật đánh cắp dữ liệu tương tự trong quá khứ, nơi phần mềm độc hại được cung cấp miễn phí, thì này đánh dấu một trong những trường hợp hiếm hoi mà kẻ ăn cắp được bán trên cơ sở đăng ký cũng gửi thông tin cướp được trở lại nhà phát triển của nó.

Các nhà nghiên cứu cho biết: “Lưu ý rằng có những bản sao bị bẻ khóa / bị rò rỉ của Prynt Stealer với cùng một cửa sau, điều này sẽ mang lại lợi ích cho tác giả phần mềm độc hại ngay cả khi không được bồi thường trực tiếp,” các nhà nghiên cứu cho biết.

Zscaler cho biết họ đã xác định thêm hai biến thể của Prynt Stealer có tên là WorldWind và DarkEye được viết bởi cùng một tác giả, biến thể thứ hai được đóng gói như một bộ cấy ghép với một trình tạo Prynt Stealer “miễn phí”.

Trình tạo cũng được thiết kế để thả và thực thi một trojan truy cập từ xa có tên là Loda RAT, một phần mềm độc hại dựa trên AutoIT có thể truy cập và lấy thông tin cả hệ thống và thông tin người dùng, hoạt động như một keylogger, chụp ảnh màn hình, khởi chạy và chấm dứt các quy trình cũng như tải xuống bổ sung tải phần mềm độc hại thông qua kết nối với máy chủ C2.

Xem tiếp:   Lỗi nghiêm trọng trong Email bảo mật và Trình quản lý web của Cisco Cho phép kẻ tấn công bỏ qua xác thực

Các nhà nghiên cứu kết luận: “Sự sẵn có miễn phí của mã nguồn cho nhiều họ phần mềm độc hại đã làm cho việc phát triển dễ dàng hơn bao giờ hết đối với các tác nhân đe dọa ít phức tạp hơn”.

“Tác giả Prynt Stealer đã đi một bước xa hơn và thêm một cửa sau để đánh cắp từ khách hàng của họ bằng cách mã hóa cứng mã thông báo Telegram và ID trò chuyện vào phần mềm độc hại. Như người ta đã nói, những kẻ trộm không có danh dự”.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …