Prynt Stealer始めました
Prynt Stealerの活動が観測されています。
Prynt Stealerは名前の通り、info stealerです。
いろいろな情報を盗み取っていきます。
- 新しいinfo stealer
Prynt Stealerは新しい実装です。 - 悪事の種類
被害者のデータの取得や暗号ウォレットの取得を行います。クリッパー機能やキーロガー機能もあります。 - 広いターゲット
30以上のChromiumベースのブラウザー、5つ以上のFirefoxベースのブラウザー、およびさまざまなVPN、FTP、メッセージング、およびゲームアプリをターゲットにします。
これだけ広ければ、いろいろな人の環境でなにかが該当しそうです。 - 自由度の高いカスタマイズ性
利用者はマルウェアの開発者の提供するビルダー機能を使ってマルウェアをカスタマイズして利用することができます。
サイズを小さくすることができるといえそうですし、検出が難しくなる原因の一つでもありそうです。 - 検出不能
開発者はこのマルウェアは検出不能だと主張しています。
ハードコードされる内部文字列にはAES256などで暗号化されたものを使うなどの工夫が施されています。
マルウェアの転送中のバイナリは暗号化されていますし、それはファイルとして持ってこられるのではなくメモリ内で復号化されてそのまま実行されます。 - C2と暗号化通信
C2との通信も暗号化されています。
どこかで見たような手法がたくさん盛り込まれています。
悪事の内容はこんな感じです。
- 小さなファイルを盗む
高速に盗み出しを実施するため、サイズの小さなファイルのみを盗み出します。 - ブラウザから情報を盗む
各種ブラウザから情報を盗みます。
自動補完のデータ、キャッシュされたログイン情報、検索履歴文字列、クッキー情報などがターゲットになります。 - メッセージングアプリケーションの情報を盗む
Discordトークン、Pidginというチャットツールのログイン資格情報、Telegramのセッション情報を盗みます。 - ゲームアプリの情報を盗む
Steamの認証情報、Uplayのディレクトリ(ログイン情報を含みます)、Minecraftのデータを盗みます。 - 暗号ウォレットの情報を盗む
各種暗号資産のウォレット情報を盗みます。 - FTPアプリケーションの情報を盗む
FileZillaの使用するデータファイルを盗みます。 - VPNの情報を盗む
ProtonVPN、OpenVPNの構成ファイルをコピーし、NordVPN構成ファイルからユーザー資格情報を盗みます。 - パソコンの情報を盗む
ディレクトリ構造の情報、プロセス一覧、スクリーンショット、無線ネットワークの情報、Windowsのプロダクトキーを盗みます。 - クリップボードの情報を盗む
- 入力情報を盗む
キーロガー機能も実装されています。
まさに全部入りです。
利用者は好きな機能のみに絞って使うことができます。
これはサブスクライブ形式で利用する機能が提供されています。
課金期間は、1か月、3か月、1年、生涯から選択できます。
生涯ってなんでしょう。
出所不明の怪しいファイルは入手しない、認証管理は厳重にし、怪しいメールやURLは開かない。
できる対策はいつも通りです。
参考記事(外部リンク):A New Info Stealer Performing Clipper And Keylogger
Activities
blog.cyble.com/2022/04/21/prynt-stealer-a-new-info-stealer-performing-clipper-and-keylogger-activities/
