Es ist eine Tatsache, dass unter Hackern keine Ehre herrscht. Der Entwickler der Prynt Stealer Malware hat dies nun auf traurige Weise unter Beweis gestellt. Denn die Schadsoftware die nach dem Malware-as-a-Service-Prinzip verkauft wird, enthält eine Hintertür die dem Entwickler selbst Zugang zu den erbeuteten Daten verschafft.
Funktionsweise des Prynt Stealers
Der Prynt Stealer ist darauf ausgelegt, verschiedene Arten von Informationen zu stehlen, darunter Kryptowallet-Informationen, vertrauliche Daten die in Webbrowsern gespeichert sind, VPN-Kontodaten und ebenfalls Details zu Cloud-Gaming-Konten. Sobald die Malware die Daten gesammelt hat – werden sie über einen Telegrambot komprimiert und an einen vom Angreifer definierten Kanal gesendet. Der Builder der Teil der Malware ist unterstützt dabei das Tool zu konfigurieren und erleichtert dadurch den Prozess für weniger erfahrene Hacker.
Hintertür im Quellcode
Laut einem Bericht von Zscaler hat der Autor der Prynt Stealer Anwendung jedoch zusätzlich einen hart codierten Telegram-Token und eine Chat-ID im Quellcode der Malware hinterlegt. Damit hat er sich selbst einen Zugang zu den erbeuteten Daten verschafft, ohne dass die Kunden davon wussten. Die Hintertür ist jedoch nicht auf diese Malware beschränkt und wurde auch in verschiedenen Derivaten und Varianten der Prynt Stealer Malware gefunden.
Verwendeter Quellcode
Der Quellcode der Prynt Stealer Malware basiert auf quelloffenen Projekten wie dem Fernzugriffstool AsyncRAT und dem Infostealer StormKitty. Es gibt auch starke Ähnlichkeiten mit den Malware-Familien WorldWind und DarkEye. Die Unterschiede sind so geringfügig – dass sie demselben Autor zugeschrieben werden. Auf verschiedenen Webseiten; Foren und Telegramkanälen wurden gecrackte Versionen der Prynt Stealer Malware angeboten. Unter abweichenden Namen war der Code sogar kostenlos auf GitHub verfügbar. Es ist jedoch möglich, dass der Autor diese Leaks aktiv unterstützt hat da er durch die eingebaute Hintertür sowieso von der Nutzung der Malware profitiert hat.
Auswirkungen auf die Entwicklung von Malware
Mit der Verfügbarkeit verschiedener Malware-Quellcodes ist die Entwicklung von an die jeweiligen Bedürfnisse des Angreifers angepassten Lösungen einfacher denn je. Die Entdeckung der Hintertür im Prynt Stealer wird wahrscheinlich dazu führen. Dass Cyberkriminelle nach Alternativen suchen jedoch es ist auch zu erwarten, dass ähnliche Hintertüren in anderen Malware-Familien gefunden werden.
Kommentare
Der Prynt Stealer ist ein Beispiel dafür, dass sich Hacker nicht immer an die ungeschriebenen Regeln der Szene halten. Die Hintertür die der Autor in seiner eigenen Malware eingebaut hat, zeigt dass es ihm nur um seinen eigenen Gewinn geht ohne Rücksicht auf die Kunden die seine Schadsoftware einsetzen. Die Entdeckung der Hintertür sollte als Warnung für alle dienen die Malware einsetzen oder ausarbeiten - es gibt keine Ehre unter Dieben.