La mayoría de los ciberdelincuentes simplemente pertenecen a empresas criminales. Y aquí, también, hay una competencia no deseada. Puede usar malware para acceder a información importante de otros atacantes o vender Malware-as-a-Service con una puerta trasera integrada para que pueda acceder a los datos usted mismo. Zscaler examinó el malware de puerta trasera contra otros ciberdelincuentes.
El robo de información es fundamental para que las pandillas cibernéticas obtengan acceso a los sistemas e inicien campañas de malware más grandes contra las empresas. En un análisis reciente del malware Prynt Stealer, los investigadores de seguridad ThreatLabz de Zscaler descubrieron que el robo de información también es un hecho común entre los ciberdelincuentes.
Robo de información entre ciberdelincuentes
El código malicioso diseñado para robar información de la empresa, como el ladrón de información Prynt, a menudo lo configuran los creadores a través de un constructor y luego lo venden a actores de amenazas menos experimentados. Al analizar Prynt Stealer, los investigadores de seguridad descubrieron una puerta trasera que reenvía automáticamente copias de los datos extraídos de las víctimas a un chat privado de Telegram. Este chat es monitoreado por los desarrolladores del constructor, quienes pueden usarlo para acceder a los datos robados. De esta manera, los datos de las organizaciones robadas llegan a manos de múltiples actores de amenazas, aumentando el riesgo de uno o más ataques a gran escala.
Prynt Stealer roba a la competencia
Con Prynt Stealer, los ciberdelincuentes pueden recopilar credenciales almacenadas en sistemas comprometidos, incluidos navegadores web, clientes VPN/FTP y aplicaciones de mensajería y juegos. El ladrón fue programado en base a proyectos de código abierto como AsyncRAT y StormKitty. Según los hallazgos de los investigadores de seguridad, las familias de malware DarkEye y WorldWind, que también roban información, son casi idénticas a Prynt Stealer.
🔎 Prynt Stealer roba datos robados (Imagen: Zscaler).
Prynt Stealer es una familia de malware de robo de información relativamente nueva escrita en .NET. Prynt Stealer es un código parcialmente copiado directamente de los repositorios de las variantes WorldWind y DarkEye y se cree que es del mismo autor del malware. Muchas partes del código de Prynt Stealer, tomadas de otras familias de malware, no se usan pero están presentes en el binario como código inalcanzable. Los archivos capturados de la víctima se reenvían a la cuenta de Telegram del operador de Prynt. Sin embargo, lo que el operador no debe saber es que una copia de estos datos también se envía al autor real del malware a través de otro canal integrado de Telegram. El código DarkEye se utiliza como puerta trasera.
Malware de puerta trasera gratuito
Este enfoque ya ha sido observado por los autores de malware en el pasado cuando el malware estaba disponible de forma gratuita. El autor se beneficia de las actividades de los ciberdelincuentes que utilizan su malware e infectan a las empresas con él. Dado que todas las muestras de Prynt Stealer descubiertas tienen el mismo canal de Telegram integrado, esto sugiere la instalación deliberada de la puerta trasera con fines de monetización, aunque algunos de los clientes también pagan por Prynt Stealer.
Conclusión: No hay honor entre ladrones
La disponibilidad gratuita del código fuente para numerosas familias de malware ha hecho que el desarrollo y la personalización sean más fáciles que nunca para los actores de amenazas con pocos conocimientos de programación. Como resultado, a lo largo de los años han surgido muchas familias de malware nuevas basadas en proyectos de malware de código abierto populares, como NjRat, AsyncRAT y QuasarRAT. El autor de Prynt Stealer fue un paso más allá y agregó una puerta trasera para robar a sus clientes. Para hacer esto, creó un token de Telegram y una ID de chat en el malware. Esta táctica no es nueva y demuestra una vez más que no hay honor entre ladrones.
Más en Zscaler.com
Acerca de Zscaler
Zscaler acelera la transformación digital para que los clientes puedan volverse más ágiles, eficientes, resilientes y seguros. Zscaler Zero Trust Exchange protege a miles de clientes de ataques cibernéticos y pérdida de datos al conectar personas, dispositivos y aplicaciones de forma segura en cualquier lugar. Zero Trust Exchange basado en SSE es la plataforma de seguridad en la nube en línea más grande del mundo, distribuida en más de 150 centros de datos en todo el mundo.