Los investigadores descubrieron una puerta trasera privada basada en un canal de Telegram en el malware que roba información, denominado Ladrón de impresionesque su desarrollador agregó con la intención de robar en secreto una copia de los datos extraídos de las víctimas cuando otros ciberdelincuentes los utilizan.
«Si bien este comportamiento poco confiable no es nada nuevo en el mundo del delito cibernético, los datos de las víctimas terminan en manos de múltiples actores de amenazas, lo que aumenta los riesgos de uno o más ataques a gran escala», afirman los investigadores de Zscaler ThreatLabz, Atinderpal Singh y Brett Stone. -Bruto dijo en un nuevo informe.
Prynt Stealer, que salió a la luz a principios de abril, viene con capacidades para registrar pulsaciones de teclas, robar credenciales de navegadores web y desviar datos de Discord y Telegram. Se vende por $100 por una licencia de un mes y $900 por una suscripción de por vida.
El análisis de la firma de ciberseguridad de Prynt Stealer muestra que su base de código se deriva de otras dos familias de malware de código abierto, AsyncRAT y TormentaKittycon nuevas incorporaciones incorporadas para incluir un canal de Telegram de puerta trasera para recopilar la información robada por otros actores al autor del malware.
Se dice que el código responsable de la exfiltración de datos de Telegram se copió de StormKitty, pero con algunos cambios menores.
También se incluye una función antianálisis que equipa al malware para monitorear continuamente la lista de procesos de la víctima en busca de procesos como taskmgr, netstat y wireshark, y si se detecta, bloquea los canales de comunicación de comando y control de Telegram.
Si bien los malos actores han empleado tácticas similares de robo de datos en el pasado, donde el malware se entrega de forma gratuita, el desarrollo marca uno de los raros casos en los que un ladrón que se vende por suscripción también envía la información saqueada a su desarrollador.
«Tenga en cuenta que hay copias descifradas/filtradas de Prynt Stealer con la misma puerta trasera, lo que a su vez beneficiará al autor del malware incluso sin una compensación directa», dijeron los investigadores.
Zscaler dijo que identificó dos variantes más de Prynt Stealer denominadas WorldWind y DarkEye escritas por el mismo autor, la última de las cuales se incluye como un implante con un constructor Prynt Stealer «gratuito».
El constructor también está diseñado para colocar y ejecutar un troyano de acceso remoto llamado Loda RAT, un malware basado en AutoIT que puede acceder y extraer información del sistema y del usuario, actuar como un registrador de teclas, tomar capturas de pantalla, iniciar y finalizar procesos y descargar información adicional. cargas útiles de malware a través de una conexión a un servidor C2.
«La disponibilidad gratuita del código fuente para numerosas familias de malware ha hecho que el desarrollo sea más fácil que nunca para los actores de amenazas menos sofisticados», concluyeron los investigadores.
«El autor de Prynt Stealer fue un paso más allá y agregó una puerta trasera para robar a sus clientes al codificar un token de Telegram y una identificación de chat en el malware. Como dice el refrán, no hay honor entre los ladrones».