A maioria dos cibercriminosos simplesmente pertence a empresas criminosas. E aqui também há uma competição indesejável. Você pode usar malware para acessar informações importantes de outros invasores ou vender Malware-as-a-Service com uma backdoor integrada para que você mesmo possa acessar os dados. O Zscaler analisou o malware de backdoor contra outros cibercriminosos.
O roubo de informações é fundamental para que as gangues cibernéticas tenham acesso aos sistemas e iniciem campanhas maiores de malware contra as empresas. Em uma análise recente do malware Prynt Stealer, os pesquisadores de segurança do ThreatLabz da Zscaler descobriram que o roubo de informações também é uma ocorrência comum entre os cibercriminosos.
Roubo de informações entre criminosos cibernéticos
Códigos maliciosos projetados para roubar informações da empresa, como o infostealer Prynt, geralmente são configurados pelos criadores por meio de um construtor e depois vendidos para agentes de ameaças menos experientes. Ao analisar o Prynt Stealer, os pesquisadores de segurança descobriram um backdoor que encaminha automaticamente cópias dos dados exfiltrados das vítimas para um chat privado do Telegram. Esse bate-papo é monitorado pelos desenvolvedores da construtora, que podem usá-lo para acessar os dados roubados. Dessa forma, os dados das organizações roubadas ficam nas mãos de vários agentes de ameaças, aumentando o risco de um ou mais ataques em larga escala.
Prynt Stealer rouba da concorrência
Usando o Prynt Stealer, os cibercriminosos podem coletar credenciais armazenadas em sistemas comprometidos, incluindo navegadores da web, clientes VPN/FTP e aplicativos de mensagens e jogos. O ladrão foi programado com base em projetos de código aberto, como AsyncRAT e StormKitty. De acordo com as descobertas dos pesquisadores de segurança, as famílias de malware DarkEye e WorldWind, que também roubam informações, são quase idênticas ao Prynt Stealer.
🔎 Prynt Stealer rouba dados roubados (Imagem: Zscaler).
Prynt Stealer é uma família relativamente nova de malware para roubo de informações escrita em .NET. O Prynt Stealer é um código parcialmente copiado diretamente dos repositórios das variantes WorldWind e DarkEye e acredita-se que seja do mesmo autor do malware. Muitas partes do código do Prynt Stealer, emprestadas de outras famílias de malware, não são usadas, mas estão presentes no binário como código inacessível. Os arquivos capturados da vítima são encaminhados para a conta do Telegram de um operador da Prynt. O que o operador não deve saber, no entanto, é que uma cópia desses dados também é enviada ao verdadeiro autor do malware por meio de outro canal incorporado do Telegram. O código DarkEye é usado como uma porta dos fundos.
Malware backdoor gratuito
Essa abordagem já foi observada por autores de malware no passado, quando o malware foi disponibilizado gratuitamente. O autor se beneficia das atividades de criminosos cibernéticos que usam seu malware e infectam empresas com ele. Como todas as amostras do Prynt Stealer descobertas têm o mesmo canal do Telegram incorporado, isso sugere a instalação deliberada do backdoor para fins de monetização, embora alguns dos clientes também paguem pelo Prynt Stealer.
Conclusão: Não há honra entre ladrões
A disponibilidade gratuita de código-fonte para várias famílias de malware tornou o desenvolvimento e a personalização mais fáceis do que nunca para agentes de ameaças com pouco conhecimento de programação. Como resultado, muitas novas famílias de malware surgiram ao longo dos anos com base em projetos populares de malware de código aberto, como NjRat, AsyncRAT e QuasarRAT. O autor de Prynt Stealer foi um passo além e adicionou um backdoor para roubar de seus clientes. Para fazer isso, ele criou um token do Telegram e um ID de bate-papo no malware. Essa tática não é nova e mostra mais uma vez que não há honra entre os ladrões.
Mais em Zscaler.com
Sobre Zscaler
O Zscaler acelera a transformação digital para que os clientes possam se tornar mais ágeis, eficientes, resilientes e seguros. O Zscaler Zero Trust Exchange protege milhares de clientes contra ataques cibernéticos e perda de dados, conectando com segurança pessoas, dispositivos e aplicativos em qualquer lugar. O Zero Trust Exchange baseado em SSE é a maior plataforma de segurança em nuvem em linha do mundo, distribuída em mais de 150 data centers em todo o mundo.