Mağdurlardan veri toplamak için Prynt Stealer’ı kullanan siber suçlular, kötü amaçlı yazılım geliştiricisi tarafından dolandırılıyor ve aynı zamanda Telegram mesajlaşma hizmeti üzerinden bilgilerin bir kopyasını da alıyor.
Kötü amaçlı yazılım geliştiricisi, bilgi hırsızı için oluşturucuya, siber suçlulara aylık 100 ABD Doları veya yıllık 700 ABD Doları ile ömür boyu abonelik için 900 ABD Doları arasında kiralanan her kopyada bulunan bir arka kapı yerleştirdi.
Prynt Stealer, kripto para cüzdan bilgilerini, web tarayıcılarında saklanan hassas bilgileri (kimlik bilgileri kredi kartları), VPN hesap verilerini, bulut oyun hesabı ayrıntılarını çalabilir.
Cyble analiz edilen Prynt Stealer Nisan 2022’de geri dönmüş ve her ikisi de bir bilgi hırsızı için olağandışı işlevler olan bir kesme ve tuş kaydedici için etkin olmayan kod içerdiğini vurgulamıştı.
Prynt Stealer’ın yakaladığı veriler tipik olarak sıkıştırılır ve bir Telegram botu aracılığıyla siber suçlu tarafından kontrol edilen bir kanala aktarılır.
Ancak, bir göre bildiri bulut güvenlik şirketi Zscaler’dan gelen kötü amaçlı yazılım, operatörün arkasından yazara çalınan verileri göndermek için ek, sabit kodlanmış bir Telegram belirteci ve kimliği ile birlikte gelir.
Dolandırıcılık için tasarlandı
Prynt Stealer, AsyncRAT uzaktan erişim aracının ve StormKitty bilgi hırsızının kodunu temel alır. Geliştirici, bazı özelliklerde bazı küçük değişiklikler yaptı ve diğerlerini kaldırdı.
Zscaler’ın araştırmacıları ayrıca Prynt Stealer’ın WorldWind ve DarkEye kötü amaçlı yazılım ailelerine çok benzediğini ve onların arkasında aynı yazarın olduğunu öne sürüyorlar.
Prynt Stealer’ın oluşturucusu, vasıfsız siber suçluların kötü amaçlı yazılımı dağıtım için yapılandırmasına, tüm parametreleri ayarlamasına ve otomatikleştirilmiş aracın işi yapmasına izin vermesine yardımcı olmayı amaçlamaktadır.
Zscaler’ın analistleri, oluşturucunun sızdırılmış bir kopyasını aldı ve yürütme sırasında bir yükleyicinin Discord’dan ‘DarkEye Stealer’ı aldığını ve onu yazara veri sızdırmak için yapılandırdığını buldu.
DarkEye, Prynt Stealer’ın bir çeşididir; aralarındaki fark, kırpma ve keylogger işlevselliğinin ilkinde etkinleştirilmesi ve ikincisinde devre dışı bırakılmasıdır.
Ek olarak, kötü amaçlı yazılım yazarı, oluşturucuyu, eski (2017) ancak güçlü bir truva atı olan LodaRAT’ı bırakacak ve yürütecek şekilde yapılandırır; bu, uzak aktörlerin virüslü sistemin kontrolünü ele geçirmesine, bilgileri çalmasına, ek yükler getirmesine vb. olanak tanır.
Artık Prynt Stealer’daki arka kapı açığa çıktığına göre, onu kullanan siber suçluların başka yerlere bakmaları muhtemeldir. Görünüşe göre Prynt Stealer yazarının halihazırda bekleyen iki ürünü var, çünkü bunlar şu anda aktif olarak tanıtılan bilgisayar korsanlığı forumları değil.