06/09/22
Эксперты Zscaler обнаружили , что вредоносное ПО Prynt Stealer содержит бэкдор, который тайно отправляет копии украденных данных жертв, собранных другими хакерами, в приватный Telegram-канал разработчика сборщика. Секретный бэкдор содержится в коде всех вариантов и копий штаммов Prynt Stealer.
Prynt Stealer — это похититель информации, обнаруженный в апреле. Он позволяет своим операторам извлекать учетные данные из веб-браузеров, клиентов FTP/VPN, а также мессенджеров и игр.
Стилер основан на open-source проектах AsynRAT и StormKitty и извлекает данные жертв, через Telegram-канал. Сборщик вредоносного ПО Prynt Stealer можно купить за $100 за лицензию на один месяц и пожизненную подписку стоимостью $900.
В Prynt Stealer есть код, отвечающий за отправку информации в Telegram из StormKitty с небольшими изменениями. Он постоянно мониторит список процессов жертвы на наличие таких процессов, как taskmgr, netstat, netmon и wireshark. При обнаружении контролируемых процессов Prynt Stealer блокирует C&C-каналы Telegram.
Эксперты Zscaler заявили, что все образцы Prynt Stealer, обнаруженные ThreatLabz , имели один и тот же встроенный телеграмм-канал. Это означает, что этот бэкдор-канал был преднамеренно установлен автором. Разработчик Prynt Stealer не только взимает плату с клиентов за использование вредоносного ПО, но и получает все украденные данные их жертв.
