사이버 공격으로 탈취한 데이터를 훔치는 크립트 스틸러의 백도어
정보 탈취 멀웨어의 백도어인 프린트 스틸러는 다른 사이버 공격자가 유출한 데이터를 훔치는 데 사용된다고 지스케일러 쓰렛랩즈(Zscaler ThreatLabz) 연구원들이 밝혔습니다.
이미 이 멀웨어는 1개월 라이선스에 100달러, 평생 구독에 900달러에 판매되고 있으며, 공격자들에게 엄청난 기능을 제공합니다. 여기에는 키 입력을 기록하고, 웹 브라우저에서 자격 증명을 훔치고, Discord와 Telegram에서 데이터를 빼내는 기능이 포함됩니다.
Prynt Stealer 코드는 다른 두 개의 오픈 소스 멀웨어 제품군인 AsyncRAT과 StormKitty에서 유래했습니다. 이 멀웨어에 새로 추가된 기능으로는 백도어를 통해 다른 위협 행위자로부터 훔친 정보를 수집하는 텔레그램 채널이 있습니다.
데이터 유출을 수행하기 위해 Prynt Stealer는 약간의 변경을 가한 StormKitty에서 복사한 코드를 사용합니다. 또한 이 멀웨어에는 피해자의 프로세스 목록에서 taskgr, netstat, wireshark와 같은 프로세스를 지속적으로 모니터링하도록 하는 분석 방지 기능도 포함되어 있습니다,
피해자의 프로세스 목록이 탐지되는 즉시 악성코드는 텔레그램 명령 및 제어 채널을 차단합니다.
연구원들은 또한 멀웨어의 작성자가 작성한 멀웨어의 다른 두 가지 변종인 Prynt Stealer: 월드윈드와 다크아이입니다.
DarkEye는 무료 Prynt Stealer 빌더가 포함된 임플란트입니다. 이 빌더는 시스템 및 사용자 정보에 액세스하고 유출할 수 있는 AutoIT 기반 멀웨어인 Loda RAT라는 원격 액세스 트로이 목마를 드롭하고 실행하도록 설계되었습니다. 또한 DarkEye는 키로거 역할을 하고, 스크린샷을 찍고, 프로세스를 시작 및 종료하고, C2 서버에 대한 연결을 통해 추가 멀웨어 페이로드를 다운로드합니다.
"이러한 신뢰할 수 없는 행동은 사이버 범죄의 세계에서 새로운 것은 아니지만, 피해자의 데이터는 결국 여러 위협 행위자의 손에 들어가게 되어 하나 이상의 대규모 공격이 이어질 위험이 높아집니다. 동일한 백도어를 사용하는 크랙/유출된 Prynt Stealer 사본이 존재하며, 이는 직접적인 보상 없이도 멀웨어 제작자에게 이득이 될 수 있습니다."라고 Zscaler ThreatLabz 연구원 Atinderpal Singh과 Brett Stone-Gross는 설명합니다.
이 글의 출처에는 다음 기사가 포함되어 있습니다. TheHackerNews.