Die Backdoor von Prynt Stealer stiehlt Daten, die bei Cyberangriffen gestohlen wurden

Laut den Forschern von Zscaler ThreatLabz wird Prynt Stealer als Hintertür in einer Malware zum Diebstahl von Informationen verwendet, um Daten zu stehlen, die von anderen Cyberangreifern exfiltriert werden.

Die Malware wird bereits für 100 US-Dollar für eine einmonatige Lizenz und 900 US-Dollar für ein lebenslanges Abonnement verkauft und bietet Angreifern enorme Möglichkeiten. Dazu gehört die Möglichkeit, Tastatureingaben zu protokollieren, Anmeldeinformationen von Webbrowsern zu stehlen und Daten von Discord und Telegram abzusaugen.

Der Code von Prynt Stealer stammt von zwei anderen Open-Source-Malware-Familien, AsyncRAT und StormKitty. Neu hinzugekommen ist ein Telegram-Kanal, der über eine Backdoor Informationen sammelt, die von anderen Bedrohungsakteuren gestohlen wurden.

Für die Datenexfiltration verwendet Prynt Stealer einen von StormKitty kopierten Code mit geringfügigen Änderungen. Die Malware enthält außerdem eine Anti-Analyse-Funktion, die die Malware in die Lage versetzt, die Prozessliste des Opfers kontinuierlich auf Prozesse wie taskmgr, netstat und wireshark zu überwachen,

Sobald die Prozessliste des Opfers erkannt wird, blockiert die Malware die Befehls- und Kontrollkanäle von Telegram.

Die Forscher identifizierten auch zwei andere Varianten der Malware, die vom Autor der Malware Prynt Stealer geschrieben wurden: WorldWind und DarkEye.

DarkEye ist ein Implantat mit einem kostenlosen Prynt Stealer Builder. Der Builder ist so konzipiert, dass er einen Fernzugriffstrojaner namens Loda RAT ablegt und ausführt. Dabei handelt es sich um eine AutoIT-basierte Malware, die sowohl auf System- als auch auf Benutzerdaten zugreifen und diese exfiltrieren kann. DarkEye fungiert auch als Keylogger, erstellt Screenshots, startet und beendet Prozesse und lädt über eine Verbindung zu einem C2-Server zusätzliche Malware-Nutzlasten herunter.

"Während dieses unzuverlässige Verhalten in der Welt der Cyberkriminalität nichts Neues ist, gelangen die Daten der Opfer in die Hände von mehreren Bedrohungsakteuren, was das Risiko eines oder mehrerer groß angelegter Angriffe erhöht. Beachten Sie, dass es geknackte/geleakte Kopien von Prynt Stealer mit der gleichen Backdoor gibt, was wiederum dem Malware-Autor auch ohne direkte Entschädigung zugutekommt", schreiben die Zscaler ThreatLabz-Forscher Atinderpal Singh und Brett Stone-Gross.

Die Quellen für diesen Artikel sind unter anderem ein Artikel in TheHackerNews.