Бэкдор в коде стилера тайно сливает все украденные данные жертв других хакеров

Эксперты Zscaler обнаружили , что вредоносное ПО Prynt Stealer содержит бэкдор, который тайно отправляет копии украденных данных жертв, собранных другими хакерами, в приватный Telegram-канал разработчика сборщика. Секретный бэкдор содержится в коде всех вариантов и копий штаммов Prynt Stealer.

Prynt Stealer — это похититель информации, обнаруженный в апреле . Он позволяет своим операторам извлекать учетные данные из веб-браузеров, клиентов FTP/VPN, а также мессенджеров и игр.

Стилер основан на open-source проектах AsynRAT и StormKitty и извлекает данные жертв, через Telegram-канал. Сборщик вредоносного ПО Prynt Stealer можно купить за $100 за лицензию на один месяц и пожизненную подписку стоимостью $900.

В Prynt Stealer есть код, отвечающий за отправку информации в Telegram из StormKitty с небольшими изменениями. Он постоянно мониторит список процессов жертвы на наличие таких процессов, как taskmgr, netstat, netmon и wireshark. При обнаружении контролируемых процессов Prynt Stealer блокирует C&C-каналы Telegram.

Эксперты Zscaler заявили, что все образцы Prynt Stealer, обнаруженные ThreatLabz , имели один и тот же встроенный телеграмм-канал. Это означает, что этот бэкдор-канал был преднамеренно установлен автором. Разработчик Prynt Stealer не только взимает плату с клиентов за использование вредоносного ПО, но и получает все украденные данные их жертв.