Prynt Stealer IOCs

security Security

Исследовательская лаборатория Cyble обнаружила новый инфосталер под названием Prynt Stealer. Этот похититель - новинка на киберпреступных форумах и обладает различными возможностями. Наряду с кражей данных жертвы, он также может совершать финансовые кражи с помощью клиппера и операций кейлоггера. Кроме того, он может атаковать 30+ браузеров на базе Chromium, 5+ браузеров на базе Firefox, а также ряд приложений VPN, FTP, Messaging и Gaming.

Prynt Stealer

Вредоносная программа использует класс ServicePointManager для создания зашифрованного канала для взаимодействия с сервером. Есть несколько жестко закодированных строк, зашифрованных с помощью алгоритма AES256. Все эти строки расшифровываются путем вызова метода Settings.aes256. Метод Decrypt() присваивается обратно тем же переменным.

После этого вредоносная программа создает скрытый каталог в папке AppData, который будет назван по хэш-значению MD5.

Затем внутри родительской директории, созданной выше, создается подпапка с именем в формате "[email protected]_culture". Вредоносная программа также создаст другие папки внутри этой папки, такие как Browsers, Grabber и т.д. Эти папки будут использоваться для сохранения украденных данных из соответствующих источников.

Вредоносная программа идентифицирует все логические диски, присутствующие в системе жертвы, используя класс DriveInfo(), и проверяет наличие съемных устройств. Затем вредоносная программа добавляет имя и путь диска в список целей для кражи данных. После определения информации о диске вредоносная программа похищает файлы из целевых каталогов, как показано на рисунке 8. Вредоносная программа использует многопоточный подход для быстрой кражи файлов с машин жертв. Prynt Stealer похищает только файлы размером менее 5120 байт, которые должны иметь следующие расширения:

Документ: pdf, rtf, doc, docx, xls, xlsx, ppt, pptx, indd, txt, json.

База данных: db, db3, db4, kdb, kdbx, sql, sqlite, mdf, mdb, dsk, dbf, wallet, ini.

Исходный код: c, cs, cpp, asm, sh, py, pyw, html, css, php, go, js, rb, pl, swift, java, kt, kts, ino.

Изображение: jpg, jpeg, png, bmp, psd, svg, ai.

Браузеры

После кражи файлов из системы жертвы Prynt Stealer крадет данные из браузеров.

Браузеры на базе Chromium:

Сначала программа создает папку с именем "Browsers", а затем проверяет наличие директорий Browsers в папке "AppData" с помощью метода Directory.Exists(). Если он возвращает значение true, вредоносная программа начинает красть данные из соответствующего места. Похититель может атаковать практически все браузеры на базе Chromium. Браузеры Chromium используют несколько файлов .sqlite для хранения данных пользователей.

Она крадет главный ключ из файла "Local Sate", который используется для расшифровки конфиденциальной информации, хранящейся в браузерах.

Вредоносная программа крадет данные кредитных карт, паролей, cookies, автозаполнения, истории, загрузок и закладок из браузеров и сохраняет украденные данные в соответствующих текстовых файлах, созданных в каталоге "Browsers\Browser_Name\".

Файлы, на которые нацелено вредоносное ПО для кражи данных:

  • Web Data (для данных автозаполнения)
  • Login Data (для учетных данных входа в систему)
  • История (для истории поиска)
  • Cookies (для Cookies браузера)

Похищая данные из браузеров, вредоносная программа также проверяет, присутствуют ли в данных браузера ключевые слова, относящиеся к таким сервисам, как Banking, Cryptocurrency и Porn, используя метод ScanData().

Браузер MS Edge:

Сначала вредоносная программа проверяет каталог "\AppData\Local\Microsoft\Edge\User Data", который помогает определить, установлен ли на системе жертвы браузер edge. После этого он перечисляет все файлы в системе и проверяет, присутствует ли файл "Login Data". Если да, то он крадет данные из браузера, как показано на рисунке ниже. Наконец, метод ScanData() снова используется для кражи данных из браузера Edge.

Браузеры на базе Firefox:

Prynt stealer нацелен на восемь браузеров на базе Firefox.

Вредоносная программа приступает к краже данных только в том случае, если папка Profile присутствует в каталоге "AppData\Browser_name". Браузер Firefox использует эту папку для сохранения пользовательских данных. Вредоносная программа копирует файл "logins.json" из папки "Profile" в первоначально созданную папку для сохранения украденных данных. Файл "Logins.json" используется для хранения учетных данных входа в Firefox. Для кражи данных вредоносная программа использует следующие файлы, находящиеся в папке "Profile":

  • Places.sqlite (для закладок и истории)
  • cookies.sqlite (для файлов cookie браузера)
  • logins.json (для учетных данных входа в систему)

Приложения для обмена сообщениями

Discord:

Вредоносная программа проверяет наличие токенов Discord. Сначала он ищет следующие каталоги:

  • Discord\\\Local Storage\\\leveldb
  • discordptb\\\Local Storage\\\leveldb
  • Discord Canary\\\leveldb

Программа работает только в том случае, если вышеуказанный каталог существует. Если каталоги присутствуют, вредоносная программа проверяет наличие файлов, заканчивающихся на .ldb или .log, и извлекает из них токены Discord с помощью регулярного выражения. Затем она создает папку с именем "Discord" и записывает украденные токены в файл "Tokens.txt".

Pidgin:

Pidgin - это чат-программа, позволяющая одновременно входить в учетные записи нескольких чат-сетей. Она совместима со следующими чат-сетями: Jabber/XMPP, Bonjour, Gadu-Gadu, IRC, Novell GroupWise Messenger, Lotus Sametime, SILC, SIMPLE и Zephyr.

Сначала вредоносная программа определяет, присутствует ли в папке AppData файл ".purple\\\accounts.xml". В этом файле хранятся учетные данные для входа в Pidgin. Он крадет учетные данные для входа и данные протокола и сохраняет их в файле accounts.txt для последующей передачи.

Telegram:

Вредоносная программа вызывает метод Process.GetProcessByName() для получения имени и пути запущенного процесса на машине жертвы. Затем вредоносная программа проверяет, присутствует ли строка Telegram в полученном пути. Наконец, она получает каталог Telegram и крадет оттуда данные, если они присутствуют - вредоносная программа нацелена на папку "tdata" для кражи сессий Telegram.

Игровые приложения

Steam:

Вредоносная программа определяет путь установки Steam, проверяя значение ключа реестра "HKEY_LOCAL_MACHINE\Software\Valve\Steam". После этого он перечисляет подключи, находящиеся в разделе "HKEY_LOCAL_MACHINE\Software\Valve\Steam\Apps", чтобы получить подробную информацию о приложении. Вредоносная программа также нацеливается на SSFN-файл steam, известный как файл авторизации, и копирует его для передачи.

Uplay:

Вредоносная программа ищет "Ubisoft Game Launcher" в папке AppData, и если эта папка присутствует, она копирует все файлы в ней для передачи.

Minecraft:

Для Minecraft проверяет, присутствует ли папка ".minecraft" в каталоге AppData. Если она присутствует, он создает папку с именем "Minecraft" в папке "Gaming" для сохранения украденных данных.

Этот похититель копирует "launcher_profiles.json", "servers.dat" и скриншоты в папку "Minecraft" для последующей передачи. Он также извлекает данные о модах и версиях и сохраняет их в соответствующие текстовые файлы, созданные в папке "Minecraft".

Криптовалютные кошельки

редоносная программа нацелена на следующие криптокошельки:

Zcash, Armory, Bytecoin, Jaxx, Ethereum, AtomicWallet, Guarda и Coinomi.

Он создает папку с именем "Wallets", а затем перечисляет список жестко закодированных кошельков для идентификации криптокошелька, используемого жертвой.

Stealer запрашивает реестр для определения местоположения блокчейн, таких как Litecoin, Dash и Bitcoin. Он получает путь из данных реестра "strDataDir" в ключе реестра HKEY_CURRENT_USER\Software\Blockchain_name\ Blockchain_name-Qt.

FTP-приложения

Prynt stealer нацелен на FileZilla, бесплатное кросс-платформенное FTP-приложение с открытым исходным кодом. Он крадет данные из "sitemanager.xml" и "recentservers.xml" и сохраняет их в файле "Hosts.txt" в папке "FileZilla" для последующей передачи.

VPN

Prynt Stealer нацелен на следующие VPN-приложения:

  • OpenVPN
  • PorotonVPN
  • NordVPN .

Он копирует конфигурационный файл ProtonVPN, OpenVPN и крадет учетные данные пользователя из конфигурационного файла NordVPN.

Дерево каталогов

После, вредоносная программа создает папку с именем "Directories", а затем получает структуру каталогов и записывает их в текстовые файлы.

Информация о системе

Создается папка "System", в которой хранится информация о запущенных процессах, сетевые данные, снимок экрана системы жертвы и т.д.

Prynt stealer использует метод Process.GetProcesses() для определения всех запущенных процессов в системе жертвы и записывает их в файл "Process.txt" в формате:

  • Имя процесса
  • Идентификатор процесса
  • Путь к исполняемому файлу

После этого он получает активные окна с помощью метода process.MainWindowTitle() и записывает данные в файл "Windows.txt" в формате:

  • Имя процесса
  • Идентификатор процесса
  • Путь к исполняемому файлу

Скриншот

Делает скриншот системы жертвы и сохраняет его как файл "Desktop.jpg"

Сетевая информация

Похититель извлекает сетевые учетные данные с помощью команды "chcp 65001 && netsh wlan show profile" и сохраняет их в файл "Savednetworks.txt". После этого, используя команду "/C chcp 65001 && netsh wlan show networks mode=bssid", он получает список доступных сетей и сохраняет их в файл "ScanningNetworks.txt".

Ключ продукта Windows

Он крадет ключ продукта windows из "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion", декодирует его, а затем сохраняет в файл "ProductKey.txt".

Передача данных

Вредоносная программа создает список и добавляет в него обзор украденных данных. Затем она отправляет сообщение в чат с помощью бота Telegram.

Для определения публичного IP-адреса отправляется запрос на hxxp[:]//icanhazip[.]com.

Для определения геолокации он отправляет запрос на hxxps[:]//api.mylnikov.org/geolocation/wifi?v=1.1&bssid=

Вредоносная программа сжимает папку, в которой хранятся украденные данные, и передает их telegram-боту. Кроме того, для передачи похищенных данных на удаленный сервер используется защищенное сетевое соединение.

Indicators of Compromise

MD5

  • ab913c26832cd6e038625e30ebd38ec2
  • 0b75113f8a78dcc1dea18d0e9aabc10a
  • 661842995f7fdd2e61667dbc2f019ff3

SHA1

  • 719873f61eeb769493ac17d61603a6023a3db6dd
  • 269e61eed692911c3a886a108374e2a6d155c8d1
  • 1a638a81b9135340bc7d1f5e7eae5f3f06667a42

SHA256

  • 1283c477e094db7af7d912ba115c77c96223208c03841768378a10d1819422f2
  • 808385d902d8472046e5899237e965d8087da09d623149ba38b3814659689906
  • 4569670aca0cc480903b07c7026544e7e15b3f293e7c1533273c90153c46cc87
Добавить комментарий