I ricercatori di sicurezza informatica hanno individuato un nuovo info-stealer, denominato Prynt Stealer, molto pericoloso che, oltre a rubare dati sensibili degli utenti e causare danni finanziari significativi, compromissione dell’account e violazione dei dati, utilizza anche potenti funzionalità e moduli keylogger e clipper aggiuntivi.
Un clipper è uno strumento che monitora i dati copiati negli appunti della macchina compromessa per identificare gli indirizzi del portafoglio di criptovaluta e sostituirli: ogni qualvolta la vittima tenta di pagare con criptovaluta a un indirizzo specifico, il malware cambia di nascosto l’indirizzo del destinatario e il pagamento viene deviato agli attori malevoli.
Print Stealer può scegliere come target più di 30 browser basati su Chromium, più di 5 browser basati su Firefox e una gamma di app VPN, FTP, di messaggistica e di gaming.
Questo stealer è stato messo in vendita dai suoi autori in abbonamenti basati sul tempo come 100 $ al mese, oppure 200 $ per trimestre o 700 $ per un anno, ma viene anche venduto con una licenza a vita al prezzo di 900 $. Inoltre, gli acquirenti possono sfruttare il generatore di malware per creare una versione di Prynt specializzata, snella e difficile da rilevare da implementare in operazioni mirate.
Gli analisti di malware di Cyble che hanno analizzato Prynt, spiegano che lo strumento è stato creato in modo invisibile come priorità, con offuscamento binario e stringhe crittografate Rijndael e che tutte le sue comunicazioni C2 sono crittografate con AES256, mentre la cartella AppData (e le sottocartelle), create per archiviare temporaneamente i dati rubati prima dell’esfiltrazione, vengono nascoste.
Inizialmente, Prynt Stealer esegue la scansione di tutte le unità nell’host e ruba documenti, file di database, file di codice sorgente e file di immagine con dimensioni inferiori a 5.120 byte (5 KB).
Successivamente, il malware prende di mira dati come credenziali, password dell’account, informazioni sulla carta di credito, cronologia delle ricerche e cookie archiviati nei browser Web basati su Chrome, MS Edge e Firefox, dopodiché prende di mira app di messaggistica come Discord, Pidgin e Telegram e anche i token Discord se presenti nel sistema.
Vengono rubati anche i file di autorizzazione delle app di gaming, i file di salvataggio dei giochi e altri dati preziosi da Ubisoft Uplay, Steam e Minecraft.
Quindi, il malware interroga il registro per individuare le directory dei dati per i portafogli di criptovaluta, come Zcash, Armory, Bytecoin, Jaxx, Ethereum, AtomicWallet, Guarda e i portafogli di criptovaluta Coinomi.
Queste directory contengono i file e i database di configurazione dei portafogli effettivi, quindi gli hacker le raccolgono per rubare la criptovaluta archiviata al loro interno.
Infine, Prynt ruba i dati da FileZilla, OpenVPN, NordVPN e ProtonVPN, copiando le credenziali dell’account associato nella sottocartella corrispondente in AppData.
Il furto eventuali dei dati compressi avviene tramite un bot Telegram che utilizza una connessione di rete crittografata sicura per passare tutto al server remoto.
