Mağdurlardan veri toplamak için Prynt Stealer'ı kullanan siber suçlular, Telegram Mesajlaşma Hizmeti üzerindeki bilgilerin bir kopyasını alan kötü amaçlı yazılım geliştiricisi tarafından dolandırılıyor.
Kötü amaçlı yazılım geliştiricisi, Infostealer'ın inşaatçısına, aylık 100 $ veya yılda 700 $ arası fiyatlar için siber suçlulara kiralanan her bir kopyada bulunan bir arka kapı dikti.
Prynt Stealer, kripto para birimi cüzdan bilgileri, web tarayıcılarında (kimlik bilgileri kredi kartları) saklanan hassas bilgiler, VPN hesap verileri, bulut oyun hesap bilgileri çalabilir.
Cyble, Nisan 2022'de Prynt Stealer'ı analiz etti ve her ikisi de bir Infostealer için olağandışı işlevler olan bir kesme makinesi ve keylogger için aktif olmayan kod içerdiğini vurguladı.
Prynt Stealer'ın yakaladığı veriler tipik olarak sıkıştırılır ve bir telgraf botu aracılığıyla siber suçlu tarafından kontrol edilen bir kanala eklenir.
Bununla birlikte, Cloud Security Company Zscaler'ın bir raporuna göre, kötü amaçlı yazılım, operatörün arkasındaki yazara çalınan verileri göndermek için ek, sert kodlanmış bir telgraf jetonu ve ID ile birlikte geliyor.
Prynt Stealer, Asyncrat uzaktan erişim aracının ve Stormkitty Infostealer'ın koduna dayanmaktadır. Geliştirici, bazı özelliklerde bazı küçük değişiklikler yaptı ve diğerlerini kaldırdı.
Zscaler'ın araştırmacıları ayrıca Prynt Stealer'ın Worldwind ve Darkeye kötü amaçlı yazılım ailelerine çok benzediğini belirtiyor ve aynı yazarın arkalarında olduğunu gösteriyor.
Prynt Stealer'ın inşaatçısı, vasıfsız siber suçluların kötü amaçlı yazılımları dağıtım için yapılandırmasına, tüm parametreleri ayarlamasına ve otomatik aracın işi yapmasına izin vermesine yardımcı olmak içindir.
Zscaler analistleri, inşaatçının sızdırılmış bir kopyasını satın aldı ve yürütme sırasında bir yükleyicinin 'Darkeye Stealer'ı Discord'dan getirdiğini ve verileri yazara yaymak için yapılandırdığını buldu.
Darkeye, Prynt Stealer'ın bir çeşididir, aralarındaki fark, Clipper ve Keylogger işlevselliğinin öncekinde etkinleştirilmesi ve ikincisinde devre dışı bırakılmasıdır.
Buna ek olarak, kötü amaçlı yazarı, inşaatçıyı, uzak aktörlerin enfekte sistemin kontrolünü ele geçirmesini, ek bilgileri çalmasını, ek yükleri getirmesini, vb.
Prynt Stealer'daki arka kapı maruz kaldığına göre, kullanan siber suçluların başka bir yere bakması muhtemeldir. Görünüşe göre Prynt Stealer yazarının zaten iki ürünü bekliyor, çünkü şu anda aktif olarak tanıtılan hack forumları.
Korsan 3Dmark Benchmark Aracı Info-Stealer kötü amaçlı yazılım sunan
Kötü niyetli PYPI paketleri anlaşmazlığı şifre çalan kötü amaçlı yazılımlara dönüştürür
Amadey kötü amaçlı yazılım Smokeloader kampanyasında yazılım çatlakları yoluyla itildi
LinkedIn Kimlik Avı Hedef Çalışanları Facebook Reklam Hesaplarını Yöneten
Hacker forumlarında yayınlanan pas tabanlı info-stealer için kaynak kodu
Kaynak: Bleeping Computer