Les chercheurs ont découvert une porte dérobée basée sur un canal Telegram privé dans le logiciel malveillant de vol d’informations, surnommé Voleur de Pryntque son développeur a ajouté avec l’intention de voler secrètement une copie des données exfiltrées des victimes lorsqu’elles sont utilisées par d’autres cybercriminels.
« Bien que ce comportement indigne de confiance ne soit pas nouveau dans le monde de la cybercriminalité, les données des victimes se retrouvent entre les mains de multiples acteurs de la menace, augmentant les risques d’une ou plusieurs attaques à grande échelle à suivre », ont déclaré les chercheurs de Zscaler ThreatLabz, Atinderpal Singh et Brett Stone. -Brut a dit dans un nouveau rapport.
Prynt Stealer, qui a été révélé plus tôt en avril, est doté de capacités pour enregistrer les frappes au clavier, voler les informations d’identification des navigateurs Web et siphonner les données de Discord et Telegram. Il est vendu 100 $ pour une licence d’un mois et 900 $ pour un abonnement à vie.
L’analyse de la société de cybersécurité de Prynt Stealer montre que sa base de code est dérivée de deux autres familles de logiciels malveillants open source, AsyncRAT et StormKittyavec de nouveaux ajouts incorporés pour inclure un canal Telegram de porte dérobée pour collecter les informations volées par d’autres acteurs à l’auteur du malware.
Le code responsable de l’exfiltration des données de Telegram serait copié de StormKitty, mais pour quelques modifications mineures.
Une fonction anti-analyse est également incluse qui permet au logiciel malveillant de surveiller en permanence la liste des processus de la victime pour des processus tels que taskmgr, netstat et wireshark, et, s’il est détecté, de bloquer les canaux de communication de commande et de contrôle Telegram.
Alors que les mauvais acteurs ont utilisé des tactiques de vol de données similaires dans le passé où le logiciel malveillant est distribué gratuitement, le développement marque l’un des rares cas où un voleur vendu sur abonnement renvoie également les informations pillées à son développeur.
« Notez qu’il existe des copies piratées/fuites de Prynt Stealer avec la même porte dérobée, ce qui profitera à son tour à l’auteur du malware même sans compensation directe », ont déclaré les chercheurs.
Zscaler a déclaré avoir identifié deux autres variantes des variantes Prynt Stealer appelées WorldWind et DarkEye écrites par le même auteur, cette dernière étant regroupée sous forme d’implant avec un constructeur Prynt Stealer « gratuit ».
Le constructeur est également conçu pour déposer et exécuter un cheval de Troie d’accès à distance appelé Loda RAT, un logiciel malveillant basé sur AutoIT qui est capable d’accéder et d’exfiltrer les informations système et utilisateur, d’agir comme un enregistreur de frappe, de prendre des captures d’écran, de lancer et de terminer des processus et de télécharger d’autres charges utiles de logiciels malveillants via une connexion à un serveur C2.
« La disponibilité gratuite du code source de nombreuses familles de logiciels malveillants a rendu le développement plus facile que jamais pour les acteurs de la menace moins sophistiqués », ont conclu les chercheurs.
« L’auteur de Prynt Stealer est allé plus loin et a ajouté une porte dérobée pour voler ses clients en codant en dur un jeton Telegram et un identifiant de chat dans le logiciel malveillant. Comme le dit le dicton, il n’y a pas d’honneur parmi les voleurs. »
