Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Hasil pencarian CCleaner beracun menyebarkan malware pencuri informasi

by

Malware yang mencuri kata sandi, kartu kredit, dan dompet kripto Anda dipromosikan melalui hasil pencarian untuk salinan bajakan program pengoptimalan CCleaner Pro Windows.

Kampanye distribusi malware baru ini dijuluki “FakeCrack,” dan ditemukan oleh analis di Avast, yang melaporkan mendeteksi rata-rata 10.000 upaya infeksi setiap hari dari data telemetri pelanggannya. Sebagian besar korban ini berbasis di Prancis, Brasil, Indonesia, dan India.

Malware yang didistribusikan dalam kampanye ini adalah pencuri informasi yang kuat yang dapat memanen data pribadi dan aset cryptocurrency dan mengarahkan lalu lintas internet melalui proxy penyadap data.

Pelaku ancaman mengikuti teknik Black Hat SEO untuk memberi peringkat situs web distribusi malware mereka tinggi di hasil Google Penelusuran sehingga lebih banyak orang akan tertipu untuk mengunduh executable yang dicampur.

Daya tarik yang dilihat oleh Avast adalah CCleaner Professional versi crack, pembersih sistem Windows populer dan pengoptimal kinerja yang masih dianggap sebagai utilitas “harus dimiliki” oleh banyak pengguna.

Hasil Google Penelusuran yang mengarah ke situs berbahaya (Avast)

Hasil pencarian beracun membawa korban melalui beberapa situs web yang akhirnya menampilkan halaman arahan yang menawarkan unduhan file ZIP. Halaman arahan ini biasanya dihosting di platform hosting file yang sah seperti filesend.jp atau mediafire.com.

Portal distribusi malware (Avast)

ZIP dilindungi kata sandi menggunakan PIN yang lemah seperti “1234”, yang hanya ada untuk melindungi muatan dari deteksi anti-virus.

File di dalam arsip biasanya bernama “setup.exe” atau “cracksetup.exe,” tetapi Avast telah melihat delapan executable berbeda yang digunakan dalam kampanye ini.

Korban malware ditipu untuk menginstal upaya untuk mencuri informasi yang disimpan di browser web, seperti kata sandi akun, kartu kredit yang disimpan, dan kredensial dompet cryptocurrency.

Selain itu, ia memantau clipboard untuk alamat dompet yang disalin dan menggantinya dengan yang berada di bawah kendali operator malware untuk mengalihkan pembayaran. Fitur pembajakan clipboard ini bekerja dengan berbagai alamat cryptocurrency, termasuk alamat Bitcoin, Ethereum, Cardano, Terra, Nano, Ronin, dan Bitcoin Cash.

Script memantau clipboard (Avast)

Malware ini juga menggunakan proxy untuk mencuri kredensial akun pasar cryptocurrency menggunakan serangan man-in-the-middle yang sangat sulit dideteksi atau disadari oleh korban.

Mekanisme proxy ini ditambahkan melalui kunci registri baru di “HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”.

Korban dapat menonaktifkannya dengan menavigasi ke Jaringan & internet di Pengaturan Windows dan mengalihkan opsi “Gunakan server proxy” ke Mati.

Kampanye ini sudah tersebar luas, dan tingkat infeksinya tinggi, jadi hindari mengunduh perangkat lunak yang retak dari mana saja, bahkan jika situs unduhan memiliki peringkat tinggi di Google Penelusuran.

Sumber: Bleeping Computer

Malware SVCReady baru dimuat dari properti dokumen Word

by

Pemuat malware yang sebelumnya tidak dikenal bernama SVCReady telah ditemukan dalam serangan phishing, menampilkan cara yang tidak biasa untuk memuat malware dari dokumen Word ke mesin yang disusupi.

Lebih khusus lagi, ia menggunakan kode makro VBA untuk mengeksekusi shellcode yang disimpan di properti dokumen yang tiba di target sebagai lampiran email.

Menurut laporan baru oleh HP, malware tersebut telah digunakan sejak April 2022, dengan pengembang merilis beberapa pembaruan pada Mei 2022. Ini menunjukkan bahwa malware tersebut saat ini sedang dalam pengembangan berat, kemungkinan masih dalam tahap awal.

Namun, itu sudah mendukung eksfiltrasi informasi, ketekunan, fitur anti-analisis, dan komunikasi C2 terenkripsi.

Rantai infeksi dimulai dengan email phishing yang membawa lampiran .doc berbahaya.

Namun, bertentangan dengan praktik standar menggunakan PowerShell atau MSHTA melalui makro berbahaya untuk mengunduh muatan dari lokasi yang jauh, kampanye ini menggunakan VBA untuk menjalankan shellcode yang bersembunyi di properti file.

Seperti yang ditunjukkan di bawah ini, shellcode ini disimpan di properti dokumen Word, yang diekstraksi dan dieksekusi oleh makro.

Shellcode disembunyikan di properti dokumen (HP)

Dengan memisahkan makro dari kode shell berbahaya, pelaku ancaman berusaha untuk melewati perangkat lunak keamanan yang biasanya dapat mendeteksinya.

Kode shell yang sesuai dimuat memori tino dari mana ia akan menggunakan fungsi Windows API “Virtual Protect” untuk memperoleh hak akses yang dapat dieksekusi.

Selanjutnya, SetTimer API meneruskan alamat shellcode dan mengeksekusinya. Tindakan ini menghasilkan DLL (payload malware) jatuh ke direktori %TEMP%.

Salinan “rundll32.exe”, biner Windows yang sah, juga ditempatkan di direktori yang sama dengan nama yang berbeda dan akhirnya disalahgunakan untuk menjalankan SVCReady.

Malware SVCReady dimulai dengan membuat profil sistem melalui kueri Registry dan panggilan Windows API dan mengirimkan semua informasi yang dikumpulkan ke server C2 melalui permintaan HTTP POST.

Komunikasi dengan C2 dienkripsi menggunakan kunci RC4. Analis HP berkomentar bahwa fungsi ini ditambahkan pada bulan Mei selama salah satu pembaruan malware.

Malware ini juga membuat dua kueri WMI pada host untuk mencari tahu apakah itu berjalan di lingkungan virtual dan memasuki mode tidur selama 30 menit jika melakukannya untuk menghindari analisis.

Malware memasuki mode tidur untuk menggagalkan analisis (HP)

Mekanisme persistensi saat ini bergantung pada pembuatan tugas terjadwal dan kunci registri baru, tetapi karena kesalahan dalam penerapannya, malware tidak akan diluncurkan setelah reboot.

Tugas terjadwal yang dibuat oleh SVCready (HP)

Fase pengumpulan informasi kedua dimulai setelah semua itu, dan itu melibatkan tangkapan layar, mengekstraksi “osinfo”, dan mengirimkan semuanya ke C2.

Mekanisme pengambilan tangkapan layar (HP) malware

SVCReady terhubung ke C2 setiap lima menit untuk melaporkan statusnya, menerima tugas baru, mengirim informasi yang dicuri, atau memvalidasi domain.

Fungsi-fungsi yang didukung oleh SVCReady saat ini adalah sebagai berikut:

  • Unduh file ke klien yang terinfeksi
  • Ambil tangkapan layar
  • Jalankan perintah shell

Selengkapnya

Laporan HP melihat tautan ke kampanye TA551 (Shatak) sebelumnya seperti gambar memikat yang digunakan dalam dokumen berbahaya, URL sumber daya yang digunakan untuk mengambil muatan, dll. Sebelumnya, geng phishing menggunakan domain ini untuk menampung muatan Ursnif dan IcedID.

TA551 telah ditautkan ke berbagai operator malware dan bahkan afiliasi ransomware, sehingga hubungan dengan SVCReady saat ini tidak jelas dan dapat berupa kemitraan distribusi.

Sumber: Bleeping Computer

Malware SMSFactory Android secara diam-diam berlangganan layanan premium

by

Peneliti keamanan memperingatkan malware Android bernama SMSFactory yang menambahkan biaya yang tidak diinginkan ke tagihan telepon dengan membuat korban berlangganan layanan premium.

SMSFactory memiliki beberapa saluran distribusi yang mencakup malvertising, pemberitahuan push, pop-up promosi di situs, video yang menjanjikan peretasan game, atau akses konten dewasa.

Menurut Avast, SMSFactory menargetkan lebih dari 165.000 pelanggan Android antara Mei 2021 hingga Mei 2022, sebagian besar berlokasi di Rusia, Brasil, Argentina, Turki, dan Ukraina.

Sementara tujuan utama SMSFactory adalah mengirim teks premium dan melakukan panggilan ke nomor telepon premium, peneliti Avast melihat varian malware yang juga dapat mencuri daftar kontak pada perangkat yang disusupi, kemungkinan akan digunakan sebagai metode distribusi lain untuk ancaman tersebut.

Jakub Vávra dari Avast mencatat bahwa SMSFactory di-host di toko aplikasi tidak resmi. Peneliti ESET menemukan paket APK berbahaya di APKMods dan PaidAPKFree, dua repositori aplikasi Android yang tidak memiliki pemeriksaan dan kebijakan keamanan yang tepat untuk produk yang terdaftar.

APK SMSFactory mungkin memiliki nama yang berbeda dan ketika mencoba menginstalnya di perangkat, sebuah peringatan muncul dari Play Protect – sistem keamanan bawaan Android, yang memperingatkan pengguna tentang potensi risiko keamanan dari file tersebut.

Peringatan Play Protect (Avast)

Izin yang diminta saat penginstalan termasuk mengakses data lokasi, SMS, kemampuan untuk melakukan panggilan telepon dan mengirim SMS, mengunci dan bergetar saat bangun, mengelola overlay, menggunakan seluruh layar, memantau notifikasi, dan memulai aktivitas dari latar belakang.

Ini semua adalah izin yang menunjukkan aktivitas jahat, tetapi pengguna ceroboh yang berharap dapat mengakses konten yang dijanjikan cenderung mengizinkannya tanpa meninjau.

Setelah diinstal, aplikasi menunjukkan kepada korban layar konten palsu ke layanan yang tidak berfungsi atau sebagian besar tidak tersedia.

Aplikasi itu sendiri tidak memiliki nama atau ikon yang ditetapkan dan dapat menghapus yang terakhir dari layar untuk mempersulit penghapusannya setelah keluar. Akibatnya, sebagian besar korban berasumsi bahwa ada yang salah dengan penginstalan dan tidak memberi tahu lagi tentang aplikasi tersebut.

SMSFactory tidak menggunakan ikon atau nama (Avast)

Namun, SMSFactory terus beroperasi di latar belakang, membuat koneksi ke server perintah dan kontrol (C2) dan mengirim profil ID perangkat yang terinfeksi.

Jika operator kampanye menganggap perangkat dapat digunakan, mereka mengirim kembali instruksi dan berlangganan korban ke layanan premium.

Salah satu varian terbaru dari malware SMSFactory juga dapat menambahkan akun admin di perangkat, kemungkinan diperlukan untuk distribusi SMS menggunakan daftar kontak.

Untuk menghindari tagihan yang lebih besar, pengguna disarankan untuk mengunduh aplikasi hanya dari sumber tepercaya, seperti Google Play. Mereka harus menjaga minimal jumlah aplikasi yang mereka gunakan dan membaca ulasan dari pengguna lain sebelum menginstal apa pun.

Selain itu, perbarui sistem operasi Anda ke versi terbaru yang tersedia untuk perangkat Anda dan jalankan pemindaian rutin melalui Play Protect.

Sumber: Bleeping Computer

Tiga warga Nigeria ditangkap karena kejahatan keuangan yang dibantu malware

by

Interpol telah mengumumkan penangkapan tiga pria Nigeria di Lagos, yang diduga menggunakan trojan akses jarak jauh (RAT) untuk mengubah rute transaksi keuangan dan mencuri kredensial akun.

Operasi internasional, dengan kode nama “Killer Bee,” dipimpin oleh Interpol dengan bantuan lembaga penegak hukum dari 11 negara Asia Tenggara.

Menurut sebuah laporan yang diterbitkan hari ini, target geng tersebut termasuk organisasi perusahaan besar dan perusahaan minyak & gas di Timur Tengah, Afrika Utara, dan Asia Tenggara.

Namun, Interpol tidak mengungkapkan berapa banyak uang yang berhasil dicuri geng dari organisasi yang menjadi korban.

Salah satu dari tiga pria yang ditangkap, Hendrix Omorume, menghadapi hukuman satu tahun penjara karena memiliki dokumen palsu, mendapatkan uang dengan kepura-puraan palsu, dan terlibat dalam peniruan identitas.

Dua pria lainnya, yang masih diadili, hanya menghadapi satu dakwaan memiliki dokumen palsu yang kemungkinan digunakan dalam serangan BEC (kompromi email bisnis).

“Tiga pria, berusia antara 31 dan 38 tahun, masing-masing ditangkap karena memiliki dokumen palsu, termasuk faktur palsu dan surat resmi palsu,” sebut pengumuman itu.

Tiga orang yang ditangkap (Interpol)

Pekan lalu, Interpol mengumumkan penangkapan tersangka pemimpin geng SilverTerrier BEC dalam operasi berbeda yang diberi nama sandi “Delilah.”

Interpol mengatakan laptop dan ponsel dari orang-orang yang ditangkap diperiksa secara menyeluruh, dan polisi menemukan tanda-tanda penyebaran Agen Tesla.

Agen Tesla adalah RAT yang telah ada selama beberapa tahun sekarang, berfungsi sebagai pencuri informasi dan keylogger yang kuat yang dapat mencuri kredensial yang disimpan di browser web, klien email, FTP, dan perangkat lunak lainnya.

Biasanya, itu menginfeksi target melalui email phishing berbahaya yang membawa lampiran berbahaya, yang terbaru, dokumen PowerPoint.

Dalam kasus ini, Omorume diyakini menggunakan Agen Tesla untuk mencuri kredensial akun di organisasi target, mengakses komunikasi email, dan melakukan pengawasan.

Ini diperlukan untuk meletakkan dasar bagi serangan BEC yang sukses, karena pelaku kejahatan tahu kapan harus menyerang dan detail meyakinkan apa yang harus diberikan kepada korban.

Perlu juga dicatat bahwa Agen Tesla melihat penyebaran luas saat ini, dengan laporan deteksi malware ASEC baru-baru ini menempatkan malware di daftar teratas, di atas Formbook, RedLine, Lokibot, Wakbot, dan AveMaria.

Sumber: Bleeping Computer

Microsoft mendeteksi lonjakan besar dalam aktivitas malware XorDDoS Linux

by

Malware tersembunyi dan modular yang digunakan untuk meretas perangkat Linux dan membangun botnet DDoS telah mengalami peningkatan aktivitas yang sangat besar sebesar 254% selama enam bulan terakhir, seperti yang diungkapkan Microsoft hari ini.

Malware ini (aktif setidaknya sejak 2014) dikenal sebagai XorDDoS (atau XOR DDoS) karena penggunaan enkripsi berbasis XOR saat berkomunikasi dengan server perintah-dan-kontrol (C2) dan digunakan untuk meluncurkan penolakan layanan terdistribusi (DDoS) serangan.

Seperti yang diungkapkan perusahaan, keberhasilan botnet kemungkinan karena penggunaan ekstensif berbagai taktik penghindaran dan ketekunan yang memungkinkannya tetap tersembunyi dan sulit dihilangkan.

XorDDoS dikenal untuk menargetkan banyak arsitektur sistem Linux, dari ARM (IoT) hingga x64 (server), dan mengorbankan yang rentan dalam serangan brute force SSH.

Untuk menyebar ke lebih banyak perangkat, ia menggunakan skrip shell yang akan mencoba masuk sebagai root menggunakan berbagai kata sandi terhadap ribuan sistem yang terpapar Internet hingga akhirnya menemukan kecocokan.

Alur serangan XorDDoS (Microsoft)

Selain meluncurkan serangan DDoS, operator malware menggunakan botnet XorDDoS untuk menginstal rootkit, mempertahankan akses ke perangkat yang diretas, dan, kemungkinan, menjatuhkan muatan berbahaya tambahan.

Peningkatan besar dalam aktivitas XorDDoS yang dideteksi Microsoft sejak Desember sejalan dengan laporan oleh perusahaan keamanan siber CrowdStrike yang mengatakan bahwa malware Linux telah mengalami pertumbuhan 35% selama tahun 2021 dibandingkan tahun sebelumnya.

XorDDoS, Mirai, dan Mozi adalah keluarga yang paling umum, terhitung 22% dari semua serangan malware yang menargetkan perangkat Linux yang diamati pada tahun 2021.

Dari ketiganya, CrowdStrike mengatakan bahwa XorDDoS mengalami peningkatan signifikan dari tahun ke tahun sebesar 123%, sementara Mozi memiliki pertumbuhan aktivitas yang eksplosif, dengan sepuluh kali lebih banyak sampel terdeteksi di alam liar sepanjang tahun lalu.

Laporan Februari 2021 dari Intezer juga mengungkapkan bahwa keluarga malware Linux meningkat sekitar 40% pada tahun 2020 dibandingkan dengan 2019.

Sumber: Bleeping Computer

Artist Pixiv, DeviantArt mendapat tawaran pekerjaan NFT yang mendorong malware

by

Pengguna di Pixiv, DeviantArt, dan platform online berorientasi pencipta lainnya melaporkan menerima banyak pesan dari orang-orang yang mengaku berasal dari proyek NFT “Cyberpunk Ape Executives”, dengan tujuan utama menginfeksi perangkat artis dengan malware pencuri informasi.

“Cyberpunk Ape Executives” adalah koleksi terbatas token non-fungible (NFT) mengikuti pendekatan klub tertutup yang telah memberikan ketenaran dan nilai astronomi pada usaha serupa.

Dilansir dari Malwarebytes, aktor ancaman menargetkan artis dengan tawaran untuk bekerja dengan orang-orang di belakang proyek dan merancang serangkaian karakter baru untuk memperluas koleksi dengan NFT baru, menawarkan kompensasi hingga $350 per hari.

Pesan yang dikirim ke artis berisi tautan yang, jika diklik, mengarah ke halaman unduhan MEGA dimana korban dapat mengunduh arsip RAR 4,1 MB yang dilindungi kata sandi bernama ‘Cyberpunk Ape Exemples (pass 111).rar’ yang berisi sampel Karya seni Eksekutif Kera Cyberpunk.

Di dalam arsip, para seniman akan menemukan GIF dari Cyberpunk Ape Executives NFTs, dan di antaranya, ada file executable yang dibuat agar terlihat seperti gambar GIF lainnya, mudah dipadukan dengan koleksi lainnya.

File executable ini adalah malware installer yang akan menginfeksi perangkat dengan trojan pencuri informasi dengan peluang bagus untuk melewati deteksi AV berdasarkan deteksi VirusTotal saat ini.

Malware pencuri informasi biasanya menargetkan informasi yang disimpan di browser, seperti kata sandi akun, dompet cryptocurrency, kartu kredit, atau bahkan file di disk.

Ketika pelaku ancaman mendapatkan kredensial akun dari akun terkenal dengan jumlah pengikut yang tinggi, mereka akan menggunakannya untuk mempromosikan penipuan yang sama ke lebih banyak pengguna.

Selengkapnya: Bleeping Computer

Varian Malware BotenaGo Baru yang Menargetkan Perangkat DVR Kamera Keamanan Lilin

by

Varian baru botnet IoT yang disebut BotenaGo telah muncul di alam liar, secara khusus memilih perangkat DVR kamera keamanan Lilin untuk menginfeksi mereka dengan malware Mirai.

Dijuluki “Lilin Scanner” oleh Nozomi Networks, versi terbaru dirancang untuk mengeksploitasi kerentanan injeksi perintah kritis berusia dua tahun dalam firmware DVR yang ditambal oleh perusahaan Taiwan pada Februari 2020.

BotenaGo, pertama kali didokumentasikan pada November 2021 oleh AT&T Alien Labs, ditulis dalam bahasa Golang dan menampilkan lebih dari 30 eksploitasi untuk kerentanan yang diketahui di server web, router, dan jenis perangkat IoT lainnya.

Kode sumber botnet telah diunggah ke GitHub, membuatnya siap untuk disalahgunakan oleh pelaku kriminal lainnya. “Dengan hanya 2.891 baris kode, BotenaGo berpotensi menjadi titik awal bagi banyak varian baru dan keluarga malware baru yang menggunakan kode sumbernya,” kata para peneliti tahun ini.

Malware BotenaGo baru adalah yang terbaru untuk mengeksploitasi kerentanan di perangkat DVR Lilin setelah Chalubo, Fbot, dan Moobot. Awal bulan ini, Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab) merinci botnet DDoS yang menyebar cepat yang disebut Fodcha yang menyebar melalui beberapa kelemahan N-Day yang berbeda, termasuk kelemahan Lilin, dan kata sandi Telnet/SSH yang lemah.

Salah satu aspek penting yang membedakan Lillin Scanner dari BotenaGo adalah ketergantungannya pada program eksternal untuk membangun daftar alamat IP perangkat Lilin yang rentan, kemudian mengeksploitasi kelemahan tersebut untuk mengeksekusi kode arbitrer dari jarak jauh pada target dan menyebarkan muatan Mirai.

Perlu dicatat bahwa malware tidak dapat menyebarkan dirinya dengan cara seperti cacing, dan hanya dapat digunakan untuk menyerang alamat IP yang diberikan sebagai input dengan binari Mirai.

Perilaku lain yang terkait dengan botnet Mirai adalah pengecualian rentang IP milik jaringan internal Departemen Pertahanan AS (DoD), Layanan Pos AS (USPS), General Electric (GE), Hewlett-Packard (HP), dan lainnya,” kata para peneliti.

Seperti Mirai, kemunculan Lilin Scanner menunjukkan penggunaan kembali kode sumber yang tersedia untuk menelurkan cabang malware baru.

Sumber : The Hacker News

Malware Prynt Stealer baru yang kuat dijual hanya dengan $100 per bulan

by

Analis ancaman telah melihat tambahan lain ke ruang pertumbuhan infeksi malware pencuri info, bernama Prynt Stealer, yang menawarkan kemampuan yang kuat dan modul keylogger dan clipper tambahan.

Prynt Stealer menargetkan banyak pilihan browser web, aplikasi perpesanan, dan aplikasi game dan juga dapat melakukan kompromi finansial langsung.

Penulisnya menjual alat dalam langganan berbasis waktu, seperti $100/bulan, $200/kuartal, atau $700 selama setahun, tetapi juga dijual di bawah lisensi seumur hidup seharga $900.

Selain itu, pembeli dapat memanfaatkan pembuat malware untuk membuat putaran Prynt yang khusus, ramping, dan sulit dideteksi untuk digunakan dalam operasi yang ditargetkan.

Biaya lisensi Prynt Stealer (Bleeping Computer)

Analis malware di Cyble telah menganalisis Prynt untuk mengevaluasi pencuri info baru dan melaporkan bahwa alat itu dibuat dengan kerahasian sebagai prioritas, menampilkan kebingungan biner dan string terenkripsi Rijndael.

Biner Prynt yang dikaburkan (Cyble)

Selain itu, semua komunikasi C2-nya dienkripsi dengan AES256, sedangkan folder AppData (dan subfolder) yang dibuat untuk menyimpan sementara data yang dicuri sebelum eksfiltrasi disembunyikan.

Dekripsi string yang di-hardcode (Cyble)

Pada awalnya, Prynt Stealer memindai semua drive di host dan mencuri dokumen, file database, file kode sumber, dan file gambar yang memiliki ukuran di bawah 5.120 byte (5 KB).

Mencuri file kecil dari host (Cyble)

Selanjutnya, malware menargetkan data pengisian otomatis, kredensial (kata sandi akun), info kartu kredit, riwayat pencarian, dan cookie yang disimpan di browser web berbasis Chrome, MS Edge, dan Firefox.

Mencuri data dari browser Chromium (Cyble)

Pada tahap ini, malware menggunakan ScanData () untuk memeriksa apakah ada kata kunci yang relevan dengan perbankan, cryptocurrency, atau situs porno yang ada di data browser dan mencurinya jika ada.

Memindai layanan tertentu (Cyble)

Selanjutnya, Prynt menargetkan aplikasi perpesanan seperti Discord, Pidgin, dan Telegram dan juga mengambil token Discord jika ada di sistem.

File otorisasi aplikasi game, file save game, dan data berharga lainnya dari Ubisoft Uplay, Steam, dan Minecraft juga dicuri.

Mencuri data Minecraft (Cyble)

Kemudian, malware meminta registri untuk menemukan direktori data untuk dompet cryptocurrency, seperti Zcash, Armory, Bytecoin, Jaxx, Ethereum, AtomicWallet, Guarda, dan dompet cryptocurrency Coinomi.

Karena direktori data ini berisi file konfigurasi dompet dan database yang sebenarnya, pelaku ancaman mengumpulkannya untuk mencuri cryptocurrency yang tersimpan di dalamnya.

Memindai registri untuk dompet (Cyble)

Terakhir, Prynt mencuri data dari FileZilla, OpenVPN, NordVPN, dan ProtonVPN, menyalin kredensial akun terkait pada subfolder terkait di AppData.

Sebelum eksfiltrasi, Prynt Stealer melakukan tindakan profil sistem umum yang melibatkan penghitungan proses yang berjalan, mengambil tangkapan layar ringkasan, dan menggabungkannya dengan kredensial jaringan dan kunci produk Windows yang digunakan di mesin host.

Kunci Windows juga dicuri (Cyble)

Pencurian data terkompresi akhirnya dilakukan melalui bot Telegram yang menggunakan koneksi jaringan terenkripsi yang aman untuk meneruskan semuanya ke server jarak jauh.

Langkah Eksfiltrasi Data Telegram (Cyble)

Terlepas dari fitur-fitur di atas, yang sejalan dengan kemampuan kebanyakan pencuri info saat ini, Prynt juga dilengkapi dengan clipper dan keylogger.

Clipper adalah alat yang memantau data yang disalin pada clipboard mesin yang disusupi untuk mengidentifikasi alamat dompet cryptocurrency dan menggantinya saat itu juga dengan yang berada di bawah kendali aktor ancaman.

Setiap kali korban mencoba membayar dengan cryptocurrency ke alamat tertentu, malware secara diam-diam mengalihkan alamat penerima, dan pembayaran dialihkan ke peretas.

Keylogger adalah modul tambahan lain yang memungkinkan operator malware jarak jauh melakukan pencurian informasi massal dengan merekam semua penekanan tombol.

Modul keylogger Prynt (Cyble)

Prynt adalah tambahan lain untuk kebanyakan alat malware pencuri informasi yang tersedia yang dapat dipilih oleh penjahat dunia maya, banyak di antaranya baru-baru ini muncul di alam liar.

Sementara keylogger, clipper, dan kemampuan mencuri yang ekstensif dikombinasikan dengan operasi tersembunyi menjadikannya kandidat yang baik untuk penyebaran luas, biayanya yang relatif tinggi (dibandingkan dengan malware lain yang baru muncul) dan keandalan infrastruktur server yang meragukan mungkin menghambat kebangkitannya.

Namun, Prynt adalah malware berbahaya yang dapat mencuri informasi sensitif pengguna dan menyebabkan kerugian finansial yang signifikan, kompromi akun, dan pelanggaran data.

Sumber : Bleeping Computer