Araştırmacılar, bilgi çalan kötü amaçlı yazılımda özel bir Telegram kanalı tabanlı arka kapı keşfettiler. Prynt hırsızıgeliştiricisinin, diğer siber suçlular tarafından kullanıldığında kurbanların sızdırılan verilerinin bir kopyasını gizlice çalmak amacıyla eklediği.
Zscaler ThreatLabz araştırmacıları Atinderpal Singh ve Brett Stone, “Bu güvenilmez davranış siber suç dünyasında yeni bir şey olmasa da, kurbanların verileri birden fazla tehdit aktörünün eline geçerek bir veya daha fazla büyük ölçekli saldırı riskini artırıyor.” -Brüt yeni bir raporda söyledi.
Nisan ayının başlarında ortaya çıkan Prynt Stealer, tuş vuruşlarını kaydetme, web tarayıcılarından kimlik bilgilerini çalma ve Discord ve Telegram’dan verileri sifonlama yetenekleriyle birlikte geliyor. Bir aylık lisans için 100 dolara ve ömür boyu abonelik için 900 dolara satılıyor.
Prynt Stealer’ın siber güvenlik firması analizi, kod tabanının diğer iki açık kaynaklı kötü amaçlı yazılım ailesinden, AsyncRAT ve StormKitty’den türetildiğini ve diğer aktörler tarafından kötü amaçlı yazılımın yazarına çalınan bilgileri toplamak için bir arka kapı Telegram kanalını içeren yeni eklemeler olduğunu gösteriyor.
Telegram veri hırsızlığından sorumlu kodun StormKitty’den kopyalandığı, ancak birkaç küçük değişiklik olduğu söyleniyor.
Ayrıca, kötü amaçlı yazılımı, kurbanın görev listesi, netstat ve wireshark gibi işlemler için sürekli olarak izlemesi ve tespit edilirse Telegram komut ve kontrol iletişim kanallarını engellemesi için donatan bir anti-analiz özelliği de dahildir.
Kötü niyetli kişiler geçmişte kötü amaçlı yazılımın ücretsiz olarak dağıtıldığı benzer veri çalma taktikleri kullanmış olsa da, geliştirme, abonelik temelinde satılan bir hırsızın aynı zamanda yağmalanan bilgileri geliştiricisine geri gönderdiği nadir durumlardan birini işaret ediyor.
Araştırmacılar, “Aynı arka kapıya sahip Prynt Stealer’ın kırık / sızdırılmış kopyaları olduğunu ve bunun da doğrudan tazminat olmadan bile kötü amaçlı yazılım yazarına fayda sağlayacağını unutmayın.” Dedi.
Zscaler, aynı yazar tarafından yazılan WorldWind ve DarkEye adlı iki Prynt Stealer varyantı daha tanımladığını ve bunlardan ikincisi “ücretsiz” bir Prynt Stealer oluşturucu ile bir implant olarak paketlendiğini söyledi.
Oluşturucu ayrıca, hem sistem hem de kullanıcı bilgilerine erişebilen ve bunları sızdırabilen, bir keylogger olarak hareket edebilen, ekran görüntüleri alabilen, süreçleri başlatıp sonlandırabilen ve ek indirebilen AutoIT tabanlı bir kötü amaçlı yazılım olan Loda RAT adlı bir uzaktan erişim truva atını bırakmak ve yürütmek için tasarlanmıştır. C2 sunucusuna bağlantı yoluyla kötü amaçlı yazılım yükleri.
Araştırmacılar, “Çok sayıda kötü amaçlı yazılım ailesi için kaynak kodunun ücretsiz olarak bulunması, daha az karmaşık tehdit aktörleri için geliştirmeyi her zamankinden daha kolay hale getirdi.”
“Prynt Stealer yazarı bir adım daha ileri gitti ve bir Telegram belirtecini ve sohbet kimliğini kötü amaçlı yazılıma kodlayarak müşterilerinden çalmak için bir arka kapı ekledi. Söylendiği gibi, hırsızlar arasında onur yoktur.”