[ad_1]
Os analistas de ameaças identificaram outra adição ao crescente espaço de infecção por malware de roubo de informações, chamado Prynt Stealer, que oferece recursos poderosos e módulos adicionais de clipper e keylogger.
O Prynt Stealer tem como alvo uma grande variedade de navegadores da web, aplicativos de mensagens e aplicativos de jogos e também pode assumir compromissos financeiros diretos.
Seus autores vendem a ferramenta em assinaturas baseadas em tempo, como US$ 100/mês, US$ 200/trimestre ou US$ 700 por um ano, mas também é vendida sob uma licença vitalícia de US$ 900.
Além disso, os compradores podem aproveitar o gerador de malware para criar um Prynt twist especializado, fino e difícil de detectar para implantar em operações direcionadas.
Amplos recursos de roubo
Os analistas de malware da Cyble analisaram o Prynt para avaliar o novo ladrão de informações e relataram que a ferramenta foi projetada com furtividade como prioridade, com ofuscação binária e strings criptografadas Rijndael.
Além disso, todas as suas comunicações C2 são criptografadas com AES256, enquanto a pasta AppData (e subpastas) criada para armazenar temporariamente os dados roubados antes que a exfiltração seja ocultada.
Inicialmente, o Prynt Stealer verifica todas as unidades no host e rouba documentos, arquivos de banco de dados, arquivos de código-fonte e arquivos de imagem com tamanho inferior a 5120 bytes (5 KB).
O malware tem como alvo dados de preenchimento automático, credenciais (senhas de conta), informações de cartão de crédito, histórico de pesquisa e cookies armazenados nos navegadores Chrome, MS Edge e Firefox.
Nesse estágio, o malware usa ScanData() para verificar se há palavras-chave relevantes para bancos, criptomoedas ou sites pornográficos nos dados do navegador e, em caso afirmativo, as rouba.
O Prynt então visa aplicativos de mensagens como Discord, Pidgin e Telegram e também captura tokens Discord se estiverem presentes no sistema.
Arquivos de autorização de aplicativos de jogos, arquivos de jogos salvos e outros dados valiosos da Ubisoft Uplay, Steam e Minecraft também são roubados.
O malware então consulta o registro para localizar os diretórios de dados das carteiras de criptomoedas, como Zcash, Armory, Bytecoin, Jaxx, Ethereum, AtomicWallet, Guarda e carteiras de criptomoedas Coinomi.
Como esses diretórios de dados contêm os arquivos e bancos de dados reais de configuração da carteira, eles são coletados por agentes de ameaças para roubar a criptomoeda armazenada neles.
Por fim, o Prynt rouba dados do FileZilla, OpenVPN, NordVPN e ProtonVPN, copiando as credenciais da conta associada para a subpasta correspondente no AppData.
Antes da exfiltração, o Prynt Stealer executa uma ação geral de criação de perfil do sistema que inclui enumerar os processos em execução, tirar uma captura de tela do resumo e empacotar com as credenciais de rede e a chave do produto Windows usada na máquina host.
O eventual roubo dos dados compactados é feito por meio de um bot do Telegram que usa uma conexão de rede criptografada segura para passar tudo para o servidor remoto.
Clipper e keylogger
Além dos recursos acima, que estão alinhados com o que a maioria dos ladrões de dados é capaz hoje, o Prynt também vem com um clipper e um keylogger.
Um clipper é uma ferramenta que monitora dados copiados para a área de transferência da máquina comprometida para identificar endereços de carteira de criptomoedas e substituí-los rapidamente por um sob o controle do agente da ameaça.
Toda vez que a vítima tenta pagar com criptomoeda para um endereço específico, o malware altera secretamente o endereço do destinatário e o pagamento é desviado para os hackers.
O Keylogger é outro módulo complementar que permite que operadores remotos de malware realizem roubo massivo de dados registrando todas as teclas digitadas.
O Prynt é outra adição a uma infinidade de ferramentas de malware para roubo de informações disponíveis para os cibercriminosos escolherem, muitas das quais apareceram recentemente à solta.
Embora seus recursos de keylogger, clipper e roubo extensivos, combinados com operação furtiva, o tornem um bom candidato para ampla implantação, seu custo relativamente alto (comparado a outros malwares surgidos recentemente) e confiabilidade duvidosa da infraestrutura do servidor podem retardar seu crescimento.
Ainda assim, o Prynt é um malware perigoso que pode roubar informações confidenciais do usuário e causar danos financeiros significativos, comprometimento de contas e violação de dados.
[ad_2]
