La porte dérobée de Prynt permet de voler des données lors de cyberattaques

Porte dérobée d'un logiciel malveillant de vol d'informations, Prynt Stealer est utilisé pour voler des données qui sont exfiltrées par d'autres cyberattaquants, selon les chercheurs de Zscaler ThreatLabz.

Le logiciel malveillant est déjà vendu 100 dollars pour une licence d'un mois et 900 dollars pour un abonnement à vie, offrant aux attaquants des capacités considérables. Il permet notamment d'enregistrer les frappes au clavier, de voler les informations d'identification des navigateurs Web et d'aspirer les données de Discord et Telegram.

Le code de Prynt Stealer provient de deux autres familles de malwares open source, AsyncRAT et StormKitty. Les nouveaux ajouts au malware incluent un canal Telegram qui collecte des informations volées à d'autres acteurs de la menace via une porte dérobée.

Pour réaliser l'exfiltration de données, Prynt Stealer utilise un code copié de StormKitty avec des modifications mineures. Le malware comprend également une fonction d'anti-analyse qui lui permet de surveiller en permanence la liste des processus de la victime à la recherche de processus tels que taskmgr, netstat et wireshark,

Dès que la liste des processus de la victime est détectée, le malware bloque les canaux de commande et de contrôle de Telegram.

Les chercheurs ont également identifié deux autres variantes du malware écrites par l'auteur du malware, Prynt Stealer : WorldWind et DarkEye.

DarkEye est un implant avec un constructeur gratuit de Prynt Stealer. Le constructeur est conçu pour déposer et exécuter un cheval de Troie d'accès à distance appelé Loda RAT, un malware basé sur AutoIT qui peut accéder et exfiltrer des informations système et utilisateur. DarkEye fait également office d'enregistreur de frappe, prend des captures d'écran, démarre et termine des processus et télécharge des charges utiles supplémentaires de logiciels malveillants via une connexion à un serveur C2.

" Bien que ce comportement indigne de confiance ne soit pas nouveau dans le monde de la cybercriminalité, les données des victimes se retrouvent entre les mains de multiples acteurs de la menace, ce qui augmente les risques d'une ou plusieurs attaques à grande échelle à suivre. Notez qu'il existe des copies craquées/filtrées de Prynt Stealer avec la même porte dérobée, ce qui profitera à l'auteur du malware même sans compensation directe", écrivent Atinderpal Singh et Brett Stone-Gross, chercheurs de Zscaler ThreatLabz.

Les sources de cette pièce comprennent un article dans TheHackerNews.