Prynt Stealer Malware sælger kun på det mørke web $100 om måneden
Cybersikkerhedsspecialister fra Cyble har opdaget en ny informationstjælende malware kaldet Prynt Stealer. Malwaren har en bred vifte af muligheder og kommer med yderligere keylogger- og clipper-moduler.
Prynt Stealer annonceres som en løsning til at kompromittere en lang række browsere, instant messengers og spilapplikationer, og den er også i stand til at udføre direkte økonomiske angreb.
Prynt Stealer er en abonnementstjeneste, og forfatterne opkræver $100/måned, $200/kvarter, eller $700/år, og tilbyde en livstidslicens for $900.
I øvrigt, hvis du er interesseret i darknet kriminelle liv, kan du lide vores artikel: Darknet websteder af REvil gruppen arbejder igen: har russerne sluppet cyberkriminelle ud i naturen? eller du kan være interesseret i disse oplysninger: RedLine Stealer malware er hovedkilden til legitimationsoplysninger på to store markedspladser.
i øvrigt, købere kan bruge konstruktøren til at skabe deres egen, kompakt og svær at opdage version af malwaren, der kan bruges i målrettede angreb.
Cyble analytikere skriver, at Prynt Stealer blev skabt med vægt på stealth og bruger binær sløring og strengkryptering vha. Rijndael. Desuden, al kommunikation med administrationsserverne er krypteret med AES256, og AppData-mappen (og undermapper) nødvendig for midlertidigt at gemme stjålne data er skjult.
En gang på offerets maskine, Prynt Stealer scanner alle diske på værten og stjæler dokumenter, database filer, kildekode, og billedfiler mindre end 5120 bytes (5 KB).
Efter det, malwaren skifter til browsere baseret på Chrome, Firefox og MS Edge, stjæle autofyld-data, legitimationsoplysninger, bankkortoplysninger, søgehistorik og cookies. På dette tidspunkt, malwaren bruger ScanData() at søge browserdata efter nøgleord relateret til banker, kryptovalutaer, og pornosider, og stjæler, hvad den finder, hvis der findes oplysninger.
Efter Prynt Stealer angriber budbringere, inklusive Uenighed, Pidgin og Telegram, og stjæler Discord-tokens, hvis de er i systemet. Godkendelsesfiler til spilapplikationer, spil gemme filer og andre værdifulde data fra Ubisoft Uplay, Damp og Minecraft er også stjålet.
IBM X-Force undersøgte også Diavol-prøven og rapporterede, at de havde fundet en række nye beviser, der forbinder Diavol med udviklerne af TrickBot, malwaren forespørger i registreringsdatabasen for at finde data fra cryptocurrency-punge som f.eks Zcash, Armory, Bytecoin, Jaxx, Ethereum, AtomicWallet, Vagt og Coinomi, og stjæler også information fra FileZilla, OpenVPN, NordVPN og ProtonVPN ved at kopiere de tilsvarende legitimationsoplysninger til den ovenfor nævnte. undermappe i AppData.
Selve dataoverførslen udføres ved hjælp af en Telegram-bot, som bruger en krypteret netværksforbindelse til at uploade dumpet til en ekstern server.
Som nævnt ovenfor, ud over disse funktioner, malwaren er udstyret med keylogger-moduler (at opsnappe tastetryk) og en klippemaskine (sporer og erstatter cryptocurrency-adresser i udklipsholderen).
