Как за 100 долларов потерять все личные данные
Эксперты обнаружили новое ПО для кражи информации Prynt Stealer с мощными возможностями и модулями кейлоггера и клиппера.
Prynt Stealer с помощью Telegram-бота крадет информацию банковских данных и криптовалюты из веб-браузеров, мессенджеров, игровых приложений и VPN-сервисов.
Авторы продают ПО в виде временных подписок за 100 долларов в месяц, 200 долларов за 3 месяца или 700 долларов в год, либо 900 долларов за пожизненную лицензию.
Кроме того, покупатели могут воспользоваться конструктором вредоносного ПО для создания специализированной версии Prynt для незаметного развертывания.
Аналитики из Cyble проанализировали Prynt и сообщили, что инструмент был создан с приоритетом скрытности, включая двоичную обфускацию и зашифрованные строки Rijndael.
· Связь с управляющим сервером зашифрована с помощью AES256, при этом скрыта папка AppData с подпапками для временного хранения украденных данных перед эксфильтрацией.
Сначала Prynt Stealer сканирует все диски на компьютере и крадет документы, файлы базы данных, исходного кода и изображений размером до 5 КБ.
Затем вредоносная программа крадет данные автозаполнения, учетные данные и пароли, информацию о кредитной карте, историю поиска и файлы cookie из веб-браузеров на базе Chrome, MS Edge и Firefox.
Также Prynt использует ScanData() для проверки ключевых слов в данных браузера для доступа к банковской информации, криптовалютам или порносайтам.
Prynt взламывает мессенджеры Discord, Pidgin, Telegram и крадет Discord-токены.
Также могут быть украдены файлы авторизации игровых приложений, файлы сохранения игр и другие ценные данные из Ubisoft Uplay, Steam и Minecraft
Затем вредоносная программа через реестр ищет каталоги данных для криптовалютных кошельков Zcash, Armory, Bytecoin, Jaxx, Ethereum, AtomicWallet, Guarda, Coinomi и крадет криптовалюту.
Данные учетной записи из FileZilla, OpenVPN, NordVPN и ProtonVPN помещаются в соответствующую подпапку в AppData для взлома.
Перед кражей Prynt Stealer выполняет общее профилирование системы. Все сжатые данные могут быть украдены с помощью Telegram-бота для передачи данных на удаленный сервер через зашифрованное сетевое соединение. Перечисленные функции могут выполнять большинство вредоносных программ, но Prynt также поставляется с клиппером и кейлоггером.
Инструмент Клиппер (Clipper) при оплате жертвой криптовалютой заменяет адрес получателя на адрес кошелька злоумышленника.
Модуль Кейлоггер (Keylogger) позволяет взломщикам украсть информацию путем записи всех нажатий клавиш.
Prynt является опасным дополнением к существующим вредоносным программам и, несмотря на высокую стоимость и сомнительную надежность сервера, широкие возможности Prynt Stealer в сочетании со скрытностью делают ПО хорошим кандидатом для широкого использования.