HomePtNotíciaNovo e poderoso malware Prynt Stealer é vendido por apenas US $...

Novo e poderoso malware Prynt Stealer é vendido por apenas US $ 100 por mês


Os analistas de ameaças identificaram outra adição ao crescente espaço de infecção por malware de roubo de informações, chamado Prynt Stealer, que oferece recursos poderosos e módulos adicionais de clipper e keylogger.

O Prynt Stealer tem como alvo uma grande variedade de navegadores da web, aplicativos de mensagens e aplicativos de jogos e também pode assumir compromissos financeiros diretos.

Seus autores vendem a ferramenta em assinaturas baseadas em tempo, como US$ 100/mês, US$ 200/trimestre ou US$ 700 por um ano, mas também é vendida sob uma licença vitalícia de US$ 900.

Além disso, os compradores podem aproveitar o gerador de malware para criar um Prynt twist especializado, fino e difícil de detectar para implantar em operações direcionadas.

Custo da Licença do Prynt Stealer
Custo da Licença do Prynt Stealer (computador apitando)

Amplos recursos de roubo

Os analistas de malware da Cyble analisaram o Prynt para avaliar o novo ladrão de informações e relataram que a ferramenta foi projetada com furtividade como prioridade, com ofuscação binária e strings criptografadas Rijndael.

O binário ofuscado de Prunt
Binário Prynt Ofuscado (Cyble)

Além disso, todas as suas comunicações C2 são criptografadas com AES256, enquanto a pasta AppData (e subpastas) criada para armazenar temporariamente os dados roubados antes que a exfiltração seja ocultada.

Descriptografia de strings criptografadas
Descriptografia de strings criptografadas (Cyble)

Inicialmente, o Prynt Stealer verifica todas as unidades no host e rouba documentos, arquivos de banco de dados, arquivos de código-fonte e arquivos de imagem com tamanho inferior a 5120 bytes (5 KB).

Roubar pequenos arquivos do host
Roubar pequenos arquivos do host (Cyble)

O malware tem como alvo dados de preenchimento automático, credenciais (senhas de conta), informações de cartão de crédito, histórico de pesquisa e cookies armazenados nos navegadores Chrome, MS Edge e Firefox.

Roubo de dados dos navegadores Chromium
Roubo de dados dos navegadores Chromium (Cyble)

Nesse estágio, o malware usa ScanData() para verificar se há palavras-chave relevantes para bancos, criptomoedas ou sites pornográficos nos dados do navegador e, em caso afirmativo, as rouba.

Verificação de serviços específicos
Verificação de serviços específicos (Cyble)

O Prynt então visa aplicativos de mensagens como Discord, Pidgin e Telegram e também captura tokens Discord se estiverem presentes no sistema.

Arquivos de autorização de aplicativos de jogos, arquivos de jogos salvos e outros dados valiosos da Ubisoft Uplay, Steam e Minecraft também são roubados.

roubo de dados do minecraft
roubo de dados do minecraft (Cyble)

O malware então consulta o registro para localizar os diretórios de dados das carteiras de criptomoedas, como Zcash, Armory, Bytecoin, Jaxx, Ethereum, AtomicWallet, Guarda e carteiras de criptomoedas Coinomi.

Como esses diretórios de dados contêm os arquivos e bancos de dados reais de configuração da carteira, eles são coletados por agentes de ameaças para roubar a criptomoeda armazenada neles.

Digitalize o registro para carteiras
Digitalize o registro para carteiras (Cyble)

Por fim, o Prynt rouba dados do FileZilla, OpenVPN, NordVPN e ProtonVPN, copiando as credenciais da conta associada para a subpasta correspondente no AppData.

Antes da exfiltração, o Prynt Stealer executa uma ação geral de criação de perfil do sistema que inclui enumerar os processos em execução, tirar uma captura de tela do resumo e empacotar com as credenciais de rede e a chave do produto Windows usada na máquina host.

Minha chave do Windows também foi roubada
Minha chave do Windows também foi roubada (Cyble)

O eventual roubo dos dados compactados é feito por meio de um bot do Telegram que usa uma conexão de rede criptografada segura para passar tudo para o servidor remoto.

A etapa de exfiltração de dados do Telegram
A etapa de exfiltração de dados do Telegram (Cyble)

Clipper e keylogger

Além dos recursos acima, que estão alinhados com o que a maioria dos ladrões de dados é capaz hoje, o Prynt também vem com um clipper e um keylogger.

Um clipper é uma ferramenta que monitora dados copiados para a área de transferência da máquina comprometida para identificar endereços de carteira de criptomoedas e substituí-los rapidamente por um sob o controle do agente da ameaça.

Toda vez que a vítima tenta pagar com criptomoeda para um endereço específico, o malware altera secretamente o endereço do destinatário e o pagamento é desviado para os hackers.

O Keylogger é outro módulo complementar que permite que operadores remotos de malware realizem roubo massivo de dados registrando todas as teclas digitadas.

Módulo de Keylogger de Impressão
Módulo de Keylogger de Impressão (Cyble)

O Prynt é outra adição a uma infinidade de ferramentas de malware para roubo de informações disponíveis para os cibercriminosos escolherem, muitas das quais apareceram recentemente à solta.

Embora seus recursos de keylogger, clipper e roubo extensivos, combinados com operação furtiva, o tornem um bom candidato para ampla implantação, seu custo relativamente alto (comparado a outros malwares surgidos recentemente) e confiabilidade duvidosa da infraestrutura do servidor podem retardar seu crescimento.

Ainda assim, o Prynt é um malware perigoso que pode roubar informações confidenciais do usuário e causar danos financeiros significativos, comprometimento de contas e violação de dados.

Must Read

%d bloggers like this: