Кража информации является основополагающим фактором для киберпреступников сегодня, чтобы охватить и получить доступ к системам, профилировать организации и реализовать более крупные схемы получения денег, такие как ransomware. Семейства вредоносных программ для кражи информации, включая Prynt Stealer, часто настраиваются с помощью конструктора, чтобы облегчить процесс для менее искушенных участников угроз.
Prynt Stealer
Однако исследователи Zscaler ThreatLabz обнаружили, что конструктор Prynt Stealer, также приписываемый WorldWind и DarkEye, имеет секретный бэкдор в коде, который оказывается в каждой производной копии и варианте этих семейств вредоносных программ. Бэкдор отправляет копии эксфильтрованных данных жертв, собранных другими субъектами угроз, в частный чат Telegram, за которым следят разработчики сборщика. Хотя такое ненадежное поведение не является чем-то новым в мире киберпреступности, данные жертв оказываются в руках множества угрожающих субъектов, что повышает риск одной или нескольких последующих крупномасштабных атак.
- Prynt Stealer - это похититель информации, способный перехватывать учетные данные, хранящиеся на взломанной системе, включая веб-браузеры, VPN/FTP-клиенты, а также приложения для обмена сообщениями и игр.
- Разработчик Prynt Stealer использовал для создания кода вредоносной программы проекты с открытым исходным кодом, включая AsyncRAT и StormKitty.
- Prynt Stealer использует Telegram для эксфильтрации данных, украденных у жертв
- Автор вредоносной программы Prynt Stealer добавил бэкдор-канал Telegram для сбора информации, украденной другими преступниками
- Семейства вредоносных программ для кражи информации, известные как DarkEye и WorldWind, практически идентичны Prynt Stealer.
Prynt Stealer - относительно новое семейство вредоносных программ для кражи информации, написанное на .NET. Ранее эта вредоносная программа была подробно проанализирована, включая возможности сбора данных и целевые приложения. После этого специалисты Zscaler ThreatLabz раскрыли дополнительные подробности об этом вредоносном ПО, включая то, что его кодовая база является производной как минимум от двух других семейств вредоносных программ с открытым исходным кодом: AsyncRAT и StormKitty. Этот блог будет посвящен этим общим кодовым базам, модификациям, внесенным автором Prynt Stealer (включая бэкдор), и очень тесной связи с WorldWind и DarkEye.
Indicators of Compromise
Domain Port Combinations
- daddy.linkpc.net:1199
- bigdaddy-service.biz:8808
- bigdaddy-service.biz:7707
- bigdaddy-service.biz:6606
URLs
- https://cdn.discordapp.com/attachments/523238636561629190/890007970207907871/vltn.exe
SHA256
- 3b948a0eb0e9bbca72fc363b63ffd3a5983e23c47f14f8296e8559fd98c25094
- 654f080d5790054f0cd1a0f9b31cd7a82a4722ff3ce5093acdc31ff154f1ae24
- 9678ca06068b705da310aa2f76713d2d59905b12b67097364160857cd1f90c58
- bb96db7406566ec0e9305acde9205763d4e9d7a65f257f3d5c47c15f393628ec
- c79aed9551260daf74a2af2ec5b239332f3b89764ede670106389c3078e74d1a
- cb132691793e93ad8065f857b4b1baba92e937cfc3d3a8042ce9109e12d32b4c
- d37d0ae4c5ced373fe1960af5ea494a6131717d1c400da877d9daa13f55439bb
- d8469e32afc3499a04f9bcb0ca34fde63140c3b872c41e898f4e31f2a7c1f61f
- e48179c4629b5ab9e53ccb785ab3ee5eeb2e246e1897154a15fec8fd9237f44b
- f15e92c34dd8adfcd471d726e88292d6698217f05f1d2bcce8193eb2536f817c
Telegram Token
- 1119746739:AAGMhvpUjXI4CzIfizRC--VXilxnkJlhaf8
- 1784055443:AAG-bXLYtnFpjJ_L3ogxA3bq6Mx09cqh8ug
- 5292408150:AAHAPbTr2Jc9L4hgsfkDkvfw_hISg6lPMMI
- 5292408150:AAHAPbTr2Jc9L4hgsfkDkvfw_hISg6lPMMI
- 1916193181:AAHhdcx3k6mHbnJ6JLfyWtJBMChny-la8Xs