Bot Telegram

Malware Prynt Stealer baru yang kuat dijual hanya dengan $100 per bulan

April 26, 2022 by Eevee

Analis ancaman telah melihat tambahan lain ke ruang pertumbuhan infeksi malware pencuri info, bernama Prynt Stealer, yang menawarkan kemampuan yang kuat dan modul keylogger dan clipper tambahan.

Prynt Stealer menargetkan banyak pilihan browser web, aplikasi perpesanan, dan aplikasi game dan juga dapat melakukan kompromi finansial langsung.

Penulisnya menjual alat dalam langganan berbasis waktu, seperti $100/bulan, $200/kuartal, atau $700 selama setahun, tetapi juga dijual di bawah lisensi seumur hidup seharga $900.

Selain itu, pembeli dapat memanfaatkan pembuat malware untuk membuat putaran Prynt yang khusus, ramping, dan sulit dideteksi untuk digunakan dalam operasi yang ditargetkan.

Biaya lisensi Prynt Stealer (Bleeping Computer)

Analis malware di Cyble telah menganalisis Prynt untuk mengevaluasi pencuri info baru dan melaporkan bahwa alat itu dibuat dengan kerahasian sebagai prioritas, menampilkan kebingungan biner dan string terenkripsi Rijndael.

Selain itu, semua komunikasi C2-nya dienkripsi dengan AES256, sedangkan folder AppData (dan subfolder) yang dibuat untuk menyimpan sementara data yang dicuri sebelum eksfiltrasi disembunyikan.

Dekripsi string yang di-hardcode (Cyble)

Pada awalnya, Prynt Stealer memindai semua drive di host dan mencuri dokumen, file database, file kode sumber, dan file gambar yang memiliki ukuran di bawah 5.120 byte (5 KB).

Selanjutnya, malware menargetkan data pengisian otomatis, kredensial (kata sandi akun), info kartu kredit, riwayat pencarian, dan cookie yang disimpan di browser web berbasis Chrome, MS Edge, dan Firefox.

Mencuri data dari browser Chromium (Cyble)

Pada tahap ini, malware menggunakan ScanData () untuk memeriksa apakah ada kata kunci yang relevan dengan perbankan, cryptocurrency, atau situs porno yang ada di data browser dan mencurinya jika ada.

Selanjutnya, Prynt menargetkan aplikasi perpesanan seperti Discord, Pidgin, dan Telegram dan juga mengambil token Discord jika ada di sistem.

File otorisasi aplikasi game, file save game, dan data berharga lainnya dari Ubisoft Uplay, Steam, dan Minecraft juga dicuri.

Kemudian, malware meminta registri untuk menemukan direktori data untuk dompet cryptocurrency, seperti Zcash, Armory, Bytecoin, Jaxx, Ethereum, AtomicWallet, Guarda, dan dompet cryptocurrency Coinomi.

Karena direktori data ini berisi file konfigurasi dompet dan database yang sebenarnya, pelaku ancaman mengumpulkannya untuk mencuri cryptocurrency yang tersimpan di dalamnya.

Terakhir, Prynt mencuri data dari FileZilla, OpenVPN, NordVPN, dan ProtonVPN, menyalin kredensial akun terkait pada subfolder terkait di AppData.

Sebelum eksfiltrasi, Prynt Stealer melakukan tindakan profil sistem umum yang melibatkan penghitungan proses yang berjalan, mengambil tangkapan layar ringkasan, dan menggabungkannya dengan kredensial jaringan dan kunci produk Windows yang digunakan di mesin host.

Pencurian data terkompresi akhirnya dilakukan melalui bot Telegram yang menggunakan koneksi jaringan terenkripsi yang aman untuk meneruskan semuanya ke server jarak jauh.

Langkah Eksfiltrasi Data Telegram (Cyble)

Terlepas dari fitur-fitur di atas, yang sejalan dengan kemampuan kebanyakan pencuri info saat ini, Prynt juga dilengkapi dengan clipper dan keylogger.

Clipper adalah alat yang memantau data yang disalin pada clipboard mesin yang disusupi untuk mengidentifikasi alamat dompet cryptocurrency dan menggantinya saat itu juga dengan yang berada di bawah kendali aktor ancaman.

Setiap kali korban mencoba membayar dengan cryptocurrency ke alamat tertentu, malware secara diam-diam mengalihkan alamat penerima, dan pembayaran dialihkan ke peretas.

Keylogger adalah modul tambahan lain yang memungkinkan operator malware jarak jauh melakukan pencurian informasi massal dengan merekam semua penekanan tombol.

Prynt adalah tambahan lain untuk kebanyakan alat malware pencuri informasi yang tersedia yang dapat dipilih oleh penjahat dunia maya, banyak di antaranya baru-baru ini muncul di alam liar.

Sementara keylogger, clipper, dan kemampuan mencuri yang ekstensif dikombinasikan dengan operasi tersembunyi menjadikannya kandidat yang baik untuk penyebaran luas, biayanya yang relatif tinggi (dibandingkan dengan malware lain yang baru muncul) dan keandalan infrastruktur server yang meragukan mungkin menghambat kebangkitannya.

Namun, Prynt adalah malware berbahaya yang dapat mencuri informasi sensitif pengguna dan menyebabkan kerugian finansial yang signifikan, kompromi akun, dan pelanggaran data.

Sumber : Bleeping Computer

Bangkitnya Bot Intersepsi One-Time Password (OTP)

October 2, 2021 by Søren

Pada bulan Februari, KrebsOnSecurity menulis tentang layanan kejahatan dunia maya baru yang membantu penyerang melakukan intersepsi pada One-Time Password(OTP) yang dibutuhkan banyak situs web sebagai faktor otentikasi kedua selain kata sandi. Layanan itu hanya muncul sesaat kemudian menghilang, tetapi penelitian baru mengungkapkan sejumlah pesaing telah meluncurkan layanan berbasis bot yang membuatnya relatif mudah bagi penjahat untuk mengelabui OTP dari target. Layanan baru tersebut beroperasi melalui Telegram, sistem pesan instan berbasis cloud.

Intel471 mengatakan salah satu bot Telegram OTP baru adalah “SMSRanger” populer karena sangat mudah digunakan, serta karena banyak testimonial yang diposting oleh pelanggan yang tampak senang dengan tingkat keberhasilannya yang tinggi dalam mengekstrak token OTP ketika penyerang sudah memiliki target “fullz”, informasi pribadi seperti nomor Jaminan Sosial dan tanggal lahir.

“Mereka yang membayar untuk akses dapat menggunakan bot dengan memasukkan perintah yang mirip dengan bagaimana bot digunakan pada alat kolaborasi tenaga kerja populer Slack.

Perintah slash sederhana memungkinkan pengguna untuk mengaktifkan berbagai ‘mode’ — skrip yang ditujukan sebagai berbagai layanan — yang dapat menargetkan bank tertentu, serta PayPal, Apple Pay, Google Pay, atau operator nirkabel. Setelah nomor telepon target dimasukkan, bot melakukan sisa pekerjaan, yang pada akhirnya memberikan akses ke akun apa pun yang telah ditargetkan.

Pengguna mengklaim bahwa SMSRanger memiliki tingkat kemanjuran sekitar 80% jika korban menjawab panggilan dan informasi lengkap (fullz) yang diberikan pengguna akurat dan diperbarui” Tambah peneliti Intel471.

Selengkapnya: Krebs on Security

Pelaku Ancaman Menyalahgunakan Bot Telegram untuk Membahayakan Akun PayPal

September 30, 2021 by Winnie the Pooh

Penjahat dunia maya menggunakan bot Telegram untuk mencuri token kata sandi satu kali (OTP) dan menipu orang melalui bank dan sistem pembayaran online, termasuk PayPal, Apple Pay, dan Google Pay, menurut penelitian baru.

Para peneliti dari Intel 471 menemukan kampanye tersebut telah beroperasi sejak Juni, dalam sebuah laporan yang diterbitkan Rabu.

“Otentikasi dua faktor adalah salah satu cara termudah bagi orang untuk melindungi akun online apa pun,” catat para peneliti dalam posting tersebut. “Jadi, tentu saja para penjahat berusaha menghindari perlindungan itu.”

Pelaku ancaman menggunakan bot dan channel Telegram dan berbagai taktik untuk mendapatkan informasi akun, termasuk menelepon korban, dan menyamar sebagai bank dan layanan yang sah, kata para peneliti.

Melalui rekayasa sosial, pelaku ancaman juga menipu orang untuk memberi mereka OTP atau kode verifikasi lainnya melalui perangkat seluler, yang kemudian digunakan penjahat untuk melakukan penipuan uang, kata mereka.

Memang, bot Telegram telah menjadi alat populer bagi penjahat dunia maya, yang telah menggunakannya dengan berbagai cara sebagai bagian dari penipuan pengguna. Kampanye serupa ditemukan pada bulan Januari, dijuluki Classiscam, di mana bot dijual sebagai layanan oleh penjahat dunia maya berbahasa Rusia dengan tujuan mencuri uang dan data pembayaran dari korban Eropa. Pelaku ancaman lain telah ditemukan menggunakan bot Telegram dengan cara yang agak unik sebagai perintah-dan-kontrol untuk spyware.

Dalam hal ini, peneliti Intel 471 mengamati dan menganalisis aktivitas kampanye terkait tiga bot—dijuluki SMSRanger, BloodOTPbot, dan SMS Buster.

Selengkapnya: The Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Bot Telegram

Cookies Settings