ClickCease 사이버 공격으로 탈취한 데이터를 훔치는 프린트 스틸러의 백도어 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

사이버 공격으로 탈취한 데이터를 훔치는 크립트 스틸러의 백도어

2022년 9월 19일 TuxCare 홍보팀

정보 탈취 멀웨어의 백도어인 프린트 스틸러는 다른 사이버 공격자가 유출한 데이터를 훔치는 데 사용된다고 지스케일러 쓰렛랩즈(Zscaler ThreatLabz) 연구원들이 밝혔습니다.

이미 이 멀웨어는 1개월 라이선스에 100달러, 평생 구독에 900달러에 판매되고 있으며, 공격자들에게 엄청난 기능을 제공합니다. 여기에는 키 입력을 기록하고, 웹 브라우저에서 자격 증명을 훔치고, Discord와 Telegram에서 데이터를 빼내는 기능이 포함됩니다.

Prynt Stealer 코드는 다른 두 개의 오픈 소스 멀웨어 제품군인 AsyncRAT과 StormKitty에서 유래했습니다. 이 멀웨어에 새로 추가된 기능으로는 백도어를 통해 다른 위협 행위자로부터 훔친 정보를 수집하는 텔레그램 채널이 있습니다.

데이터 유출을 수행하기 위해 Prynt Stealer는 약간의 변경을 가한 StormKitty에서 복사한 코드를 사용합니다. 또한 이 멀웨어에는 피해자의 프로세스 목록에서 taskgr, netstat, wireshark와 같은 프로세스를 지속적으로 모니터링하도록 하는 분석 방지 기능도 포함되어 있습니다,

피해자의 프로세스 목록이 탐지되는 즉시 악성코드는 텔레그램 명령 및 제어 채널을 차단합니다.

연구원들은 또한 멀웨어의 작성자가 작성한 멀웨어의 다른 두 가지 변종인 Prynt Stealer: 월드윈드와 다크아이입니다.

DarkEye는 무료 Prynt Stealer 빌더가 포함된 임플란트입니다. 이 빌더는 시스템 및 사용자 정보에 액세스하고 유출할 수 있는 AutoIT 기반 멀웨어인 Loda RAT라는 원격 액세스 트로이 목마를 드롭하고 실행하도록 설계되었습니다. 또한 DarkEye는 키로거 역할을 하고, 스크린샷을 찍고, 프로세스를 시작 및 종료하고, C2 서버에 대한 연결을 통해 추가 멀웨어 페이로드를 다운로드합니다.

"이러한 신뢰할 수 없는 행동은 사이버 범죄의 세계에서 새로운 것은 아니지만, 피해자의 데이터는 결국 여러 위협 행위자의 손에 들어가게 되어 하나 이상의 대규모 공격이 이어질 위험이 높아집니다. 동일한 백도어를 사용하는 크랙/유출된 Prynt Stealer 사본이 존재하며, 이는 직접적인 보상 없이도 멀웨어 제작자에게 이득이 될 수 있습니다."라고 Zscaler ThreatLabz 연구원 Atinderpal Singh과 Brett Stone-Gross는 설명합니다.

이 글의 출처에는 다음 기사가 포함되어 있습니다. TheHackerNews.

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기