Більшість кіберзлочинців просто належать до злочинних компаній. І тут теж є небажана конкуренція. Ви можете або використовувати зловмисне програмне забезпечення для доступу до важливої інформації від інших зловмисників, або продавати зловмисне програмне забезпечення як послугу з вбудованим бекдором, щоб ви могли отримати доступ до даних самостійно. Zscaler дослідив бекдорне шкідливе програмне забезпечення проти інших кіберзлочинців.
Крадіжка інформації є фундаментальною для кібербанд, щоб отримати доступ до систем і розпочати масштабніші кампанії зловмисного програмного забезпечення проти компаній. Під час нещодавнього аналізу шкідливого програмного забезпечення Prynt Stealer дослідники безпеки ThreatLabz Zscaler виявили, що крадіжка інформації також є поширеним явищем серед кіберзлочинців.
Крадіжка інформації серед кіберзлочинців
Зловмисний код, призначений для викрадення інформації про компанію, як-от інформаційний викрадач Prynt, часто налаштовується творцями за допомогою конструктора, а потім продається менш досвідченим учасникам загроз. Під час аналізу Prynt Stealer дослідники безпеки виявили бекдор, який автоматично пересилає копії викрадених даних жертв у приватний чат Telegram. Цей чат контролюється розробниками конструктора, які можуть використовувати його для доступу до вкрадених даних. Таким чином дані з викрадених організацій потрапляють до рук кількох загрозливих суб’єктів, що збільшує ризик однієї чи кількох широкомасштабних атак.
Print Stealer краде у конкурентів
Використовуючи Prynt Stealer, кіберзлочинці можуть збирати облікові дані, що зберігаються у зламаних системах, включаючи веб-браузери, VPN/FTP-клієнти, а також програми обміну повідомленнями та ігри. Стілер був запрограмований на основі відкритих проектів, таких як AsyncRAT і StormKitty. Згідно з висновками дослідників безпеки, сімейства шкідливих програм DarkEye і WorldWind, які також викрадають інформацію, майже ідентичні Prynt Stealer.
Prynt Stealer — це відносно нове сімейство зловмисних програм для крадіжки інформації, написане в .NET. Prynt Stealer — це частково код, скопійований безпосередньо з репозиторіїв варіантів WorldWind і DarkEye, і вважається, що він походить від того самого автора зловмисного програмного забезпечення. Багато частин коду Prynt Stealer, запозичених з інших сімейств зловмисного програмного забезпечення, не використовуються, але присутні у двійковому файлі як недоступний код. Захоплені файли жертви пересилаються в обліковий запис Telegram оператора Prynt. Однак оператор не повинен знати, що копія цих даних також надсилається фактичному автору шкідливого програмного забезпечення через інший вбудований канал Telegram. Код DarkEye використовується як захід.
Безкоштовне шкідливе програмне забезпечення для бекдорів
Цей підхід уже спостерігали автори зловмисного програмного забезпечення в минулому, коли зловмисне програмне забезпечення надавалося безкоштовно. Автор отримує вигоду від діяльності кіберзлочинців, які використовують його шкідливе програмне забезпечення та заражають ним компанії. Оскільки всі виявлені зразки Prynt Stealer мають однаковий вбудований канал Telegram, це свідчить про навмисне встановлення бекдору з метою монетизації, хоча деякі клієнти також платять за Prynt Stealer.
Висновок: Нема честі серед злодіїв
Безкоштовна доступність вихідного коду для численних сімейств зловмисного програмного забезпечення спростила розробку та налаштування для загрозливих суб’єктів з незначними знаннями програмування. Як наслідок, протягом багатьох років з’явилося багато нових сімей шкідливих програм на основі популярних проектів зловмисного програмного забезпечення з відкритим кодом, таких як NjRat, AsyncRAT і QuasarRAT. Автор Prynt Stealer пішов ще далі і додав бекдор, щоб красти у своїх клієнтів. Для цього він вбудував токен Telegram і ідентифікатор чату в шкідливу програму. Такий прийом аж ніяк не новий і ще раз показує, що серед злодіїв немає честі.
Більше на Zscaler.com
Про Zscaler
Zscaler прискорює цифрову трансформацію, щоб клієнти могли стати більш гнучкими, ефективними, стійкими та безпечними. Zscaler Zero Trust Exchange захищає тисячі клієнтів від кібератак і втрати даних, безпечно підключаючи людей, пристрої та програми будь-де. Zero Trust Exchange на базі SSE є найбільшою у світі вбудованою хмарною платформою безпеки, розподіленою в понад 150 центрах обробки даних по всьому світу.