Araştırmacılar, bilgi çalan kötü amaçlı yazılımda özel bir Telegram kanalı tabanlı arka kapı keşfettiler. Prynt hırsızıgeliştiricisinin, diğer siber suçlular tarafından kullanıldığında kurbanların sızdırılan verilerinin bir kopyasını gizlice çalmak amacıyla eklediği.

Zscaler ThreatLabz araştırmacıları Atinderpal Singh ve Brett Stone, “Bu güvenilmez davranış siber suç dünyasında yeni bir şey olmasa da, kurbanların verileri birden fazla tehdit aktörünün eline geçerek bir veya daha fazla büyük ölçekli saldırı riskini artırıyor.” -Brüt söz konusu yeni bir raporda.

Nisan ayının başlarında ortaya çıkan Prynt Stealer, tuş vuruşlarını kaydetme, web tarayıcılarından kimlik bilgilerini çalma ve Discord ve Telegram’dan verileri sifonlama yetenekleriyle birlikte geliyor. Bir aylık lisans için 100 dolara ve ömür boyu abonelik için 900 dolara satılıyor.

Prynt Stealer’ın siber güvenlik firması analizi, kod tabanının diğer iki açık kaynaklı kötü amaçlı yazılım ailesinden türetildiğini gösteriyor. zaman uyumsuz ve StormKittydiğer aktörler tarafından kötü amaçlı yazılımın yazarına çalınan bilgileri toplamak için bir arka kapı Telegram kanalını dahil etmek için eklenen yeni eklemelerle.

Telegram veri hırsızlığından sorumlu kodun StormKitty’den kopyalandığı, ancak birkaç küçük değişiklik olduğu söyleniyor.

Ayrıca, kötü amaçlı yazılımı, kurbanın görev listesi, netstat ve wireshark gibi işlemler için sürekli olarak izlemesi ve tespit edilirse Telegram komut ve kontrol iletişim kanallarını engellemesi için donatan bir anti-analiz özelliği de dahildir.

Kötü niyetli kişiler geçmişte kötü amaçlı yazılımın ücretsiz olarak dağıtıldığı benzer veri çalma taktikleri kullanmış olsa da, geliştirme, abonelik temelinde satılan bir hırsızın aynı zamanda yağmalanan bilgileri geliştiricisine geri gönderdiği nadir durumlardan birini işaret ediyor.

Araştırmacılar, “Aynı arka kapıya sahip Prynt Stealer’ın kırık / sızdırılmış kopyaları olduğunu ve bunun da doğrudan tazminat olmadan bile kötü amaçlı yazılım yazarına fayda sağlayacağını unutmayın.” Dedi.

Zscaler, aynı yazar tarafından yazılan WorldWind ve DarkEye adlı iki Prynt Stealer varyantı daha tanımladığını ve bunlardan ikincisi “ücretsiz” bir Prynt Stealer oluşturucu ile bir implant olarak paketlendiğini söyledi.

Oluşturucu ayrıca, hem sistem hem de kullanıcı bilgilerine erişebilen ve bunları sızdırabilen, bir keylogger olarak hareket edebilen, ekran görüntüleri alabilen, süreçleri başlatıp sonlandırabilen ve ek indirebilen AutoIT tabanlı bir kötü amaçlı yazılım olan Loda RAT adlı bir uzaktan erişim truva atını bırakmak ve yürütmek için tasarlanmıştır. C2 sunucusuna bağlantı yoluyla kötü amaçlı yazılım yükleri.

Araştırmacılar, “Çok sayıda kötü amaçlı yazılım ailesi için kaynak kodunun ücretsiz olarak bulunması, daha az karmaşık tehdit aktörleri için geliştirmeyi her zamankinden daha kolay hale getirdi.”

“Prynt Stealer yazarı bir adım daha ileri gitti ve bir Telegram belirtecini ve sohbet kimliğini kötü amaçlı yazılıma kodlayarak müşterilerinden çalmak için bir arka kapı ekledi. Söylendiği gibi, hırsızlar arasında onur yoktur.”

Siber güvenlik araştırmacıları, bilgi çalan kötü amaçlı yazılımın iç işleyişini incelediler. aziz hırsızı kimlik bilgilerini ve sistem bilgilerini sifonlamak için tasarlanmıştır.

Cyble araştırmacıları, “İcradan sonra hırsız kullanıcı adını, şifreleri, kredi kartı bilgilerini vb. çıkarır.” dedim Geçen hafta bir analizde. “Hırsız ayrıca sistemdeki çeşitli konumlardan verileri çalar ve bunları parola korumalı bir ZIP dosyasında sıkıştırır.”

Saintstealer, “saintgang.exe” adlı 32 bit C# .NET tabanlı yürütülebilir dosya, korumalı alanda veya sanal ortamda çalışıyorsa kendini sonlandırmayı seçen anti-analiz denetimleriyle donatılmıştır.

Kötü amaçlı yazılım, ekran görüntüsü almaktan şifreleri, çerezleri ve diğerlerinin yanı sıra Google Chrome, Opera, Edge, Brave, Vivaldi ve Yandex gibi Chromium tabanlı tarayıcılarda depolanan otomatik doldurma verilerini toplamaya kadar çok çeşitli bilgileri yakalayabilir.

Ayrıca Discord çok faktörlü kimlik doğrulama belirteçlerini, .txt, .doc ve .docx uzantılı dosyaları çalabilir ve VimeWorld, Telegram ve NordVPN, OpenVPN ve ProtonVPN gibi VPN uygulamalarından bilgi çıkarabilir.

Sıkıştırılmış bilgilerin bir Telegram kanalına iletilmesinin yanı sıra, sızdırılan verilerle ilgili meta veriler, uzak bir komut ve kontrol (C2) sunucusuna gönderilir.

Dahası, C2 etki alanına bağlı IP adresi — 141.8.197[.]42 — Nixscare hırsızı, BloodyStealer, QuasarRAT, Predator hırsızı ve EchelonStealer gibi birden fazla hırsız ailesine bağlıdır.

Araştırmacılar, “Bilgi hırsızları hem bireyler hem de büyük kuruluşlar için zararlı olabilir” dedi. “Saintstealer gibi bilgisiz hırsızlar bile altyapı erişimi kazanırsa, hedeflenen organizasyonun siber altyapısı üzerinde yıkıcı etkileri olabilir.”

Açıklama, adında yeni bir bilgi hırsızı olarak geliyor Prynt hırsızı Bir kesme modülü kullanarak keylogging işlemleri ve finansal hırsızlık da yapabilen vahşi doğada ortaya çıktı.

Cyble, geçen ay “30’dan fazla Chromium tabanlı tarayıcıyı, 5’ten fazla Firefox tabanlı tarayıcıyı ve bir dizi VPN, FTP, mesajlaşma ve oyun uygulamasını hedefleyebilir” dedi.

Bir aylık lisans için 100 dolara ve ömür boyu abonelik için 900 dolara satılan kötü amaçlı yazılım, Jester, BlackGuard, Mars Stealer, METAFFDroider ve Yıldırım Hırsızı.