La puerta trasera de Prynt roba datos de ciberataques
Una puerta trasera en el malware de robo de información, Prynt Stealer se utiliza para robar datos que son exfiltrados por otros ciberatacantes, según los investigadores de Zscaler ThreatLabz.
El malware ya se vende por 100 dólares la licencia de un mes y 900 dólares la suscripción de por vida, y ofrece a los atacantes enormes capacidades. Entre ellas, la capacidad de registrar pulsaciones de teclas, robar credenciales de navegadores web y succionar datos de Discord y Telegram.
El código de Prynt Stealer procede de otras dos familias de malware de código abierto, AsyncRAT y StormKitty. Las nuevas incorporaciones al malware incluyen un canal de Telegram que recopila información robada a otros actores de amenazas a través de una puerta trasera.
Para realizar la exfiltración de datos, Prynt Stealer utiliza código copiado de StormKitty con pequeños cambios. El malware también incluye una función antianálisis que lo equipa para monitorizar continuamente la lista de procesos de la víctima en busca de procesos como taskmgr, netstat y wireshark,
En cuanto se detecta la lista de procesos de la víctima, el malware bloquea los canales de mando y control de Telegram.
Los investigadores también identificaron otras dos variantes del malware escritas por el autor del malware Prynt Stealer: WorldWind y DarkEye.
DarkEye es un implante con un constructor gratuito de Prynt Stealer. El constructor está diseñado para soltar y ejecutar un troyano de acceso remoto llamado Loda RAT, un malware basado en AutoIT que puede acceder y filtrar información tanto del sistema como del usuario. DarkEye también actúa como keylogger, realiza capturas de pantalla, inicia y finaliza procesos y descarga cargas útiles de malware adicionales a través de una conexión a un servidor C2.
"Si bien este comportamiento poco fiable no es nada nuevo en el mundo de la ciberdelincuencia, los datos de las víctimas terminan en manos de múltiples actores de amenazas, lo que aumenta los riesgos de uno o más ataques a gran escala a seguir. Hay que tener en cuenta que existen copias crackeadas/filtradas de Prynt Stealer con la misma puerta trasera, lo que a su vez beneficiará al autor del malware incluso sin compensación directa", escriben los investigadores de Zscaler ThreatLabz Atinderpal Singh y Brett Stone-Gross.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.