Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Backdoor w Prynt Stealer – oszuści kradną dane od innych oszustów

07 września 2022, 12:26 | W biegu | 1 komentarz

Badaczom z Zscaler ThreatLabz udało się wykryć backdoora w świeżym malware Prynt Stealer (również opisywanego jako warianty pod nazwą WorldWind oraz DarkEye), którego zasada działania opiera się o kradzież eskfiltrowanych danych na prywatny kanał Telegram. 

Sam Prynt Stealer został odkryty w kwietniu tego roku i pozwala operatorom na zbieranie danych uwierzytelniających z przeglądarek, klientów FTP/VPN, komunikatorów (Discord, Pidgin, Telegram) oraz aplikacji gamingowych (Uplay, Steam, Minecraft). Bazuje na projektach otwartoźródłowych takich jak narzędzie AsyncRAT oraz stealer StormKitty (moduł szyfrowanego transferu danych na kanał Telegram). Eksfiltracja odbywa się poprzez skanowanie dysków w poszukiwaniu plików dokumentów, baz danych, kodów źródłowych, zdjęć o wielkości poniżej 5 KB. W wersji przeglądarkowej wykradane są dane z formularzy auto uzupełnień, zapisanych danych uwierzytelniających, historii przeglądania i ciasteczek wykorzystując metodę ScanData(). Cena zakupu w Darknecie oscyluje od $100 za licencję miesięczną, aż do $900 za wieczystą. Jedyna aktualnie działająca strona zakupu znajduje się pod adresem http://venoxxxx[.]xxx (nie polecamy tam wchodzić nie używając piaskownicy oraz wyłączenia skryptów na stronie).

“The fact that all Prynt Stealer samples encountered by ThreatLabz had the same embedded telegram channel implies that this backdoor channel was deliberately planted by the author. Interestingly, the Prynt Stealer author is not only charging some clients for the malware, but also receiving all of the data that is stolen.” continues the analysis. “Note that there are cracked/leaked copies of Prynt Stealer with the same backdoor, which in turn will benefit the malware author even without direct compensation.” 

Rys. 1. Porównanie kodu Prynt Stealer (lewa strona) z konfiguracją AsyncRAT (prawa strona). Nowe pola oznaczone prostokątem, źródło.

Moduł wysyłki eksfiltrowanych danych jest głównie oparty o rozwiązanie StormKitty. Główną różnicą między nimi jest fakt, że Prynt nie posiada modułu wykrywania stron porno, ani malware nie wykorzystuje techniki zabezpieczania kodu przed analizą jak AsyncRAT. 

Rys. 2. Porównanie funkcji SendSystemInfo() w Prynt i StormKitty. Widoczna zmiana miejsc z zachowaniem większości funkcji, źródło.

Prynt tworzy otwarty wątek, który oczekuje pliku do ściągnięcia z wykorzystaniem API getUpdates Telegrama. Jednak, to na co badacze zwrócili uwagę to fakt, że wykradzione dane wysyłane są do dwóch kanałów jednocześnie jak przedstawiono na rysunku 3.

Rys. 3. Fragment kodu Prynt Stealera wskazującego na wysyłkę do innego kanału komunikatora Telegram.

Oczywiście nie jest to pierwszy przypadek na świecie gdzie złodzieje okradają złodziejów. Motywem takiego postępowania przestępcy – autora malware, jest fakt, że zbiera on profity od nic nie podejrzewających innych przestępców, którzy napracowali się z fazą instalacji malware u ofiar. Dodatkowo każe sobie płacić za udostępnienie buildera. Istnieją też wersje zcrackowane Prynt Stealera które również zawierają backdoora, więc autor również otrzymuje benefit w postaci eksfiltrowanych danych nawet jak “nie zarobi” na sprzedaży malware.

Rys. 4. Diagram przepływu fazy infekcji i instalacji malware Prynt Stealer, źródło.

Łatwa dostępność kodu źródłowego wielu rodzin malware sprawia, że tworzenie go jest łatwiejsze niż kiedykolwiek, nawet przez osoby mniej zaawansowane. Wynikiem tego jest powstanie mnogiej ilości złośliwego oprogramowania opartych o projekty takie jak AsyncRAT, NjRat i inne. Autor Prynt Stealera okazał się nieco sprytniejszy i dodał własny, oryginalny wątek, prawdopodobnie wzorując się na tym z CobianRAT.

Cóż, pozostaje jedynie napisać, że honor nie jest cechą złodzieja i w przyszłości będziemy mogli się spodziewać większej liczby takich rozwiązań.

Źródło: 

  1. https://www.zscaler.com/blogs/security-research/no-honor-among-thieves-prynt-stealers-backdoor-exposed
  2. https://www.safeguardcyber.com/blog/security/prynt-stealer-malware-targets-messaging-apps 

~tt

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Klub Pana Rysia

    Okradzeni powinni to czym predzej zglosic wlasciwym organom scigania!

    Odpowiedz

Odpowiedz