Nella famiglia degli info stealer entra un nuovo malware: si tratta di Prynt Stealer, che offre ai cyber criminali potenti funzionalità compreso un keylogger per rubare password e informazioni sensibili.
“I malware sono sempre più a buon mercato”, commenta Gerardo Costabile, CEO di DeepCyber (Gruppo Maggioli), “e questo espone l’utente medio a rischi sempre più diffusi e pervasivi”.
Indice degli argomenti
Prynt Stealer: le funzionalità di keylogger
Nel mirino di Prynt Stealer c’è un’ampia gamma di web browser, oltre ad app di messaggistica e di gaming. Ma l’info-stealing è anche in grado di compromettere direttamente applicazioni sotto il profilo finanziario, grazie alla presenza di un keylogger.
I keylogger, lo ricordiamo, sono tool in grado di intercettare e memorizzare ogni input che arriva dalla tastiera. Dunque, basta digitare un testo per dare in pasto a cyber criminali informazioni sensibili, come password di servizi bancari o wallet di criptovalute oppure ricerche internet e qualsiasi testo che passi dai tasti pigiati sulle tastiere.
Gli analisti di Cyble hanno scoperto che gli autori di Prynt Stealer hanno utilizzato un modello di cyber-crime-as-a-service con tariffario: hanno messo in abbonamento l’info stealer al prezzo di 100 dollari al mese, 200 dollari al trimestre o 700 dollari annui. Ma per ottenere la licenza a vita basta pagare 900 dollari.
I dettagli tecnici
Inizialmente Prynt Stealer scansiona tutti i drive nell’host e ruba:
- documenti;
- file di database;
- codice sorgente;
- file immagine di dimensioni inferiori a 5,120 byte (5 KB).
Inoltre, cifra tutte le comunicazioni con il server di controllo C2 mediante algoritmo AES256, mentre crea la cartella AppData (e altre sottocartelle) per immagazzinare temporaneamente i dati rubati prima di nascondere l’esfiltrazione.
Successivamente, il malware mette nel mirino:
- il riempimento automatico dei dati;
- le credenziali utente (password di account);
- le informazioni di carte di credito;
- la search history;
- i cookies archiviati nei browser come Chrome, MS Edge e Firefox.
A questo punto, il malware usa ScanData per verificare se sono presenti keyword rilevanti per home banking, criptovalute, siti porno fra i dati del browser e quindi rubarle. Poi Prynt mette nel mirino app di messaging come Discord, Pidgin e Telegram. Inoltre controlla l’eventuale presenza di token di Discord.
L’info stealer ruba anche i file autorizzazione di app di gaming, salva file di gioco ed altri dati di valore da Ubisoft Uplay, Steam e Minecraft. Infine il malware interroga i registri per localizzare le directory di dati per i cryptocurrency wallet, come: Zcash, Armory, Bytecoin, Jaxx, Ethereum, AtomicWallet, Guarda e Coinomi. Infatti, i data directories contengono i files di configurazione e i database dei portafogli digitali per bitcoin e cripto. Gli attori criminali li raccolgono per trafugare le criptovalute.
Come proteggersi da Prynt Stealer
“Oltre ad attivare, ove possibile, autenticazione a due fattori e alert via sms ed email (anche per i ‘semplici’ account dei social)”, conclude Gerardo Costabile, “bisogna navigare sulla rete con immutata prudenza, fare un check up periodico dei propri device e usare i più recenti ed evoluti sistemi di sicurezza degli endpoint”.
Inoltre, per difendersi dagli info stealer, occorre evitare di aprire allegati spediti da mittenti ignoti. Ma conviene non fidarsi neanche dei mittenti noti: si apre un attachment solo dopo aver ottenuto un messaggio di conferma (magari via WhatsApp) dell’invio dell’allegato.
Infine, gli utenti devono acquisire maggiore consapevolezza per evitare di cadere in queste trappole.