Фахівці з інформаційної безпеки з компанії Cyble виявили нове шкідливе програмне забезпечення для крадіжки інформації під назвою Prynt Stealer. Шкідливе програмне забезпечення має широкі можливості і оснащене додатковими модулями кейлоггера і т.д.

Prynt Stealer рекламується як компромісне рішення для найрізноманітніших браузерів, месенджерів та ігрових додатків, а також здатний здійснювати прямі фінансові атаки.

Prynt Stealer поширюється за передплатою, а автори просять 100 доларів на місяць, 200 доларів за квартал або 700 доларів на рік, а також пропонують довічну ліцензію за 900 доларів. Крім того, покупці можуть використовувати конструктор для створення власної, компактної і важко виявленній версії шкідливого програмне забезпечення, яке може бути використане в цілеспрямованих атаках.

Аналітики Cyble пишуть, що Prynt Stealer був створений з акцентом на скритність і використовує бінарне заплутування і шифрування рядків за допомогою Rijndael. Крім того, всі комунікації з серверами управління шифруються за допомогою AES256, а папка AppData (і вкладені папки), необхідні для тимчасового зберігання вкрадених даних, прихована.

Після удару по машині жертви Prynt Stealer сканує всі диски на хості і краде документи, файли баз даних, вихідний код і файли зображень менше 5120 байт (5 КБ). Після цього шкідливе програмне забезпечення переходить на браузери на базі Chrome, Firefox і MS Edge, крадучи дані автозаповнення, облікові дані, інформацію про банківські картки, історію пошуку та файли cookie. На даний момент шкідливе програмне забезпечення використовує ScanData() для пошуку даних браузера за ключовими словами, пов’язаними з банками, криптовалютами та сайтами, і краде те, що він знаходить, якщо інформація знайдена.

Після Prynt Stealer атакує месенджери, включаючи Discord, Pidgin і Telegram, і краде токени Discord, якщо вони знаходяться в системі. Також викрадені файли авторизації ігрових додатків, файли для збереження ігор та інші цінні дані від Ubisoft Uplay, Steam і Minecraft.

Зрештою, зловмисне програмне забезпечення запитує реєстр, щоб знайти дані криптовалютних гаманців, таких як Zcash, Armory, Bytecoin, Jaxx, Ethereum, AtomicWallet, Guarda та Coinomi, а також краде інформацію з FileZilla, OpenVPN, NordVPN та ProtonVPN, копіюючи відповідні облікові дані до вищезгаданої підпапки в AppData.

Перед прямою крадіжкою Prynt Stealer також виконує загальне профілювання системи, включаючи створення списку запущених процесів, скріншот і зв’язування зібраної інформації з мережевими обліковими даними та ключем Windows, який використовується на машині жертви. Сама передача даних здійснюється за допомогою Telegram-бота, який використовує зашифроване мережеве з’єднання для заливки дампа на віддалений сервер.

Як вже було сказано вище, крім цих функцій, шкідливе програмне забезпечення оснащене модулями кейлоггера (для перехоплення натискань клавіш) і машинкою для стрижки (відстежує і замінює криптовалютні адреси буфером обміну).

Експерти резюмують, що новий Prynt Stealer – дуже небезпечне шкідливе програмне забезпечення, здатне вкрасти конфіденційні дані користувачів, привести до значних фінансових втрат, скомпрометації рахунків і витоку даних.