Ежедневно "зоопарк" вредоносных малварей пополняется новыми образцами. В этот раз спецы-безопасники обнаружили в даркнете "заманчивое" предложение: за 100 $/месяц злоумышленники предлагают злодейское ПО под названием "Prynt Stealer", которое обладает широкими возможностями для похищения информации и оснащено дополнительными модулями кейлоггера и клиппера.
Целевыми объектами Prynt Stealer являются большинство веб-браузеров, приложения для обмена сообщениями, игры. ПО также может выполнять прямую финансовую компрометацию.
Разработчики предлагают свой "инструмент" по подписке. Все как у приличных людей: ежемесячная подписка обойдется клиенту в 100 долларов. Хотите сэкономить - пожалуйста, квартальная абонентская плата составляет всего 200 долларов США. Еще большая экономия при покупке годовой подписки- 700 долларов. Есть так же бонусное предложение -пожизненная лицензия за 900 долларов США.
Кроме этого, покупателям предлагают воспользоваться конструктором вредоносного ПО для создания специализированного и трудно обнаруживаемого варианта Prynt для развертывания в персонализированных операциях.
Широкие возможности кражи
Аналитики вредоносных программ в Cyble проанализировали Prynt, В своем отчете безопасники отмечают, что создатели инструмента сделали скрытность в качестве приоритета, с ипользованием симметричного алгоритма блочного шифрования Rijndael.
Более того, все его соединения C2 шифруются с помощью AES256, в то время как папка AppData (и подпапки), созданные для временного хранения украденных данных перед эксфильтрацией, скрыты.
Изначально Prynt Stealer сканирует все диски на хосте и крадет документы, файлы базы данных, файлы исходного кода и файлы изображений размером менее 5 120 байт (5 КБ).
Затем вредоносное ПО нацеливается на автозаполнение данных, учетных данных (паролей учетных записей), информации о кредитной карте, истории поиска и файлов cookie, хранящихся в веб-браузерах на базе Chrome, MS Edge и Firefox.
На этом этапе вредоносное ПО использует ScanData (), чтобы проверить, присутствуют ли в данных браузера какие-либо ключевые слова, относящиеся к банковскому делу, криптовалюте или порносайтам, и крадет их, если они есть.
Затем Prynt нацеливается на приложения для обмена сообщениями, такие как Discord, Pidgin и Telegram, а также захватывает токены Discord, если они присутствуют в системе.
Файлы авторизации игровых приложений, сохраненные игровые файлы и другие ценные данные из Ubisoft Uplay, Steam и Minecraft также являются целью похищения.
Затем вредоносное ПО запрашивает реестр, чтобы найти каталоги данных для криптовалютных кошельков, таких как Zcash, Armory, Bytecoin, Jaxx, Ethereum, AtomicWallet, Guarda и криптовалютные кошельки Coinomi.
Поскольку эти каталоги данных содержат фактические файлы конфигурации кошелька и базы данных, злоумышленники собирают их, чтобы украсть криптовалюту, хранящуюся в них.
Наконец, Prynt крадет данные из FileZilla, OpenVPN, NordVPN и ProtonVPN, копируя соответствующие учетные данные в соответствующую вложенную папку в AppData.
Перед эксфильтрацией Prynt Stealer выполняет общее действие профилирования системы, включающее перечисление запущенных процессов, создание снимка экрана сводки и объединение ее с сетевыми учетными данными и ключом продукта Windows, используемым на хост-компьютере.
Возможная кража сжатых данных осуществляется через бота Telegram, который использует безопасное зашифрованное сетевое соединение для передачи всего похищенного на удаленный сервер.
Клипер и кейлоггер
Помимо вышеперечисленных функций, которые соответствуют тому, на что способно большинство похитителей информации в настоящее время, Prynt также поставляется с клипером и кейлоггером.
Клипер — это инструмент, который отслеживает скопированные данные в буфере обмена скомпрометированной машины для идентификации адресов криптовалютных кошельков и замены их на лету на тот, который находится под контролем злоумышленника.
Всякий раз, когда жертва пытается заплатить криптовалютой на определенный адрес, вредоносное ПО тайно переключает адрес получателя, и платеж перенаправляется хакерам.
Кейлоггер является еще одним дополнительным модулем, который позволяет удаленным операторам вредоносных программ выполнять массовую кражу информации путем записи всех нажатий клавиш.
Prynt является еще одним дополнением к множеству доступных вредоносных инструментов для кражи информации.
В то время как его кейлоггер, клипер и обширные возможности кражи в сочетании с скрытой операцией делают его хорошим кандидатом для широкого развертывания, его относительно высокая стоимость (по сравнению с другими недавно появившимися вредоносными программами) и сомнительная надежность серверной инфраструктуры могут затормозить его рост.
Тем не менее, Prynt является опасным вредоносным ПО, которое может украсть конфиденциальную информацию пользователей и привести к значительному финансовому ущербу, компрометации учетной записи и утечке данных.
