Zscalerは9月1日(米国時間)、「Prynt Stealer’s Backdoor Exposed|Zscaler Blog」において、「Prynt Stealer」と呼ばれる情報窃取型マルウェアに、Telegramのプライベートチャンネルにデータを流出させるためのバックドアが含まれていたと伝えた。
-
Prynt Stealer’s Backdoor Exposed|Zscaler Blog
Prynt Stealerは、.NETで記述された比較的新しい情報窃取型マルウェアファミリー。キーストロークを記録し、Webブラウザから認証情報を盗み、DiscordやTelegramなどのメッセンジャーからデータを吸い上げる機能が備わっており、1カ月のライセンスが100ドル、生涯サブスクリプションが900ドルで販売されている。
Zscaler ThreatLabzのセキュリティ研究者によってPrynt Stealerにバックドアがあり、このマルウェアのすべての派生コピーと亜種にも含まれていることが明らかとなった。分析によると、バックドアは「AsyncRAT」と「StormKitty」と呼ばれているの2つのオープンソースマルウェアファミリーのコードがベースになっているという。
Telegramにデータを送るコードには、いくつかの細かな変更が加えられていることもわかった。被害者のプロセスリストを継続的に監視し、検出された場合はTelegramのコマンド&コントロール(C2: Command and Control)通信チャネルをブロックするアンチ解析機能が搭載されていることが特定されている。
さらに「WorldWind」および「DarkEye」と呼ばれる、同じサイバー犯罪者によって開発されたPrynt Stealerの亜種も確認されている。Prynt Stealerを含むこの3つのマルウェアはわずかな違いを除き、ほぼ同じものとされている。
今回のような事例はサイバー犯罪の世界では目新しいことではなく、被害者のデータが複数の脅威アクターの手に渡ることで、大規模なサイバー攻撃が発生するリスクが高まると述べられている。また、多くのマルウェアファミリーのソースコードが無料で公開されるようになったことで、脅威アクターがこれまで以上に簡単にマルウェアを開発できるようになっていると結論付けられている。
