Pas d’honneur parmi les voleurs : les développeurs de Prynt Stealer créent une porte dérobée dans les logiciels malveillants pour obtenir une copie des données capturées.

Quiconque croit que les pirates informatiques font tout correctement se verra enseigner le contraire par le développeur du logiciel malveillant Prynt Stealer. Le logiciel malveillant, qui est distribué selon le principe Malware-as-a-Service sous la forme d’un abonnement, contient une porte dérobée par laquelle le développeur accède aux données capturées avec lui.

Prynt Stealer envoie du butin à son créateur via une porte dérobée

Le Prynt Stealer est essentiellement conçu pour pouvoir voler des informations sur les portefeuilles cryptographiques, les informations confidentielles stockées dans les navigateurs Web, les détails du compte VPN ainsi que les détails du compte de jeu en nuage, par exemple. Les données collectées par le malware sont ensuite compressées par un bot de télégramme et envoyées à un canal défini par l’attaquant. On dit également que le constructeur du malware aide à configurer l’outil. Cela rend le processus plus facile pour les pirates moins expérimentés.

Cependant, selon un rapport de Zscaler, l’auteur de l’application a également déposé un jeton Telegram codé en dur et un ID de chat dans le code source de Prynt Stealer, obligeant le malware à envoyer en plus les données volées à son créateur derrière le dos de ses clients. . Cependant, la porte dérobée ne se limite pas au Prynt Stealer. Il a trouvé sa place dans divers dérivés et variantes de cette famille de logiciels malveillants.

La disponibilité du code source facilite le développement de logiciels malveillants

Le cœur du code source de Prynt Stealer est basé sur des projets open source tels que l’outil d’accès à distance AsyncRAT et Infostealer StormKitty. Il existe également de fortes similitudes avec les familles de logiciels malveillants WorldWind et DarkEye, comme l’ont découvert les chercheurs de Zscale. En fait, les différences sont si minimes qu’elles sont attribuées au même auteur.

Des versions crackées du Prynt Stealer ont été proposées sur divers sites Web, forums et chaînes de télégrammes. Le code est même apparu gratuitement sur GitHub sous différents noms. Cependant, il est tout à fait concevable que l’auteur de l’application ait même soutenu activement ces fuites. En raison de la porte dérobée intégrée, il bénéficie de toute façon de l’utilisation de logiciels malveillants. Même si les utilisateurs ne le paient pas directement.

De nombreuses nouvelles familles de logiciels malveillants sont apparues au fil des ans sur la base de projets de logiciels malveillants open source populaires tels que NjRat, AsyncRAT et QuasarRAT. Avec la disponibilité de divers codes sources de logiciels malveillants, le développement de solutions adaptées aux besoins spécifiques de l’attaquant est plus facile que jamais. Maintenant que la porte dérobée du Prynt Stealer est devenue publique, les cybercriminels qui l’ont utilisée recherchent probablement des alternatives viables.