Resumen: Los analistas de malware de Cyble han analizado un nuevo malware con amplias capacidades de robo de información y módulos adicionales de keylogger y clipper.
Apodado como Prynt Stealer, el malware se dirige a una gran selección de navegadores, aplicaciones de mensajería y plataformas de finanzas.
Los operadores detrás del infostealer han comenzado a vender la herramienta por tan solo $100 dólares al mes, $200 por trimestre, $700 por un año y $900 con una licencia de por vida.
De acuerdo con los analistas de Cyble, Prynt ha sido diseñado para mantener el sigilo como prioridad, apoyando todas sus comunicaciones con el cifrado AES256 y almacenando los datos robados en carpetas ocultas para evadir su detección antes de su exfiltración.
Dentro de su arsenal, Prynt posee una herramienta de clipper que se encarga de monitorizar los datos copiados en el portapapeles del ordenador comprometido, con el objetivo de identificar las direcciones de los monederos de criptomonedas.
También, el nuevo malware posee un módulo keylogger que le permitirá a los atacantes realizar un robo masivo de información, registrando las pulsaciones de las teclas.
De primera instancia, para comprometer a los ordenadores, Prynt escanea todas las unidades del host y roba los archivos de las bases de datos, así como los archivos del código fuente y los archivos de imagen que mantengan un tamaño inferior a 5 KB.
Una vez hecho esto, el malware se dirige hacia los diferentes datos de autorrelleno, incluyendo las credenciales de las cuentas, la información dentro de las tarjetas de crédito, el historial de búsqueda de cookies, entre otras cosas.
A continuación, el malware roba datos de las aplicaciones de mensajería tales como Discord, Pidgin y Telegram, así como de las tokens dentro del sistema. En esta etapa, Prynt también roba los archivos de autorización dentro de las aplicaciones de juegos.
Cuando ha finalizado el compromiso inicial, el malware consulta el registro de los directorios de las carteras de criptomonedas. Esto con el objetivo de recoger las criptomonedas almacenadas dentro de carteras como Zcash, Armory, Bytecoin, Jaxx, Ethereum y AtomicWallet.
Por último, el malware roba datos de aplicaciones como FileZilla, OpenVPN, NordVPN y ProtonVPN.
Prynt Stealer concluye el robo de la información con el uso de un bot de Telegram que se ejecuta mediante una conexión cifrada, esta le ayudará a los atacantes a pasar los datos del servidor comprometido a un servidor controlado por el atacante.
Dada la probable explotación del malware, se le recomienda a todos los usuarios tomar las medidas necesarias para mitigar una posible filtración de datos.
Recomendaciones: Medidas para prevenir la descarga de malware Mantener sus dispositivos actualizados y parcheados Activar la autenticación de dos factores Evitar descargar archivos sospechosos No abrir enlaces desconocidos
Referencias:
|
SÍGUENOS