Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

l+f: Keine Ehre unter Dieben, Folge 243

Ein im Untergrund kommerziell gehandelter Infostealer bestahl auch seine Käufer – sofern man den Diebstahl gestohlener Daten als Diebstahl bezeichnen will.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
Bitcoin,And,Cryptocurrency,Cybersecurity,Concept,With,Hacker,Behind,The,Unsecured,Diebstahl,Hack,Thief,

(Bild: Shutterstock)

Lesezeit: 2 Min.
Security
Von

Im Rahmen der Professionalisierung des Cybercrime-Untergrunds gibt es dort auch vermehrt kommerzielle Malware-Angebote. Eine wachsende Geschäftssparte sind die Infostealer, die darauf spezialisiert sind, infizierte Computer abzuernten: Passwörter, Hashes, Cookies, Kreditkartendaten, Krypto-Wallets, Dokumente – kurz alles, was sich irgendwie zu Geld machen lässt, sammelt ein solches Schad-Programm systematisch ein und sendet es an seinen Eigentümer. Und oft auch noch an weitere Kriminelle.

Der Prynt Stealer setzt im Kern auf Open-Source-Projekte wie StormKitty, die das Aufspüren und Einsammeln der Informationen übernehmen. Der eigentliche Mehrwert des kommerziellen Produkts besteht vor allem im sogenannten "undetecten", das die Schadsoftware vor den Augen der Virenwächter versteckt. Da deren Hersteller ihre Signaturen immer wieder anpassen, erfordert das regelmäßige Updates. Cyberkriminelle, die sich nicht selber darum kümmern wollen, kaufen diesen Service dann gerne für eine Preis von etwa 100 US-Dollar im Monat ein (zahlbar natürlich in Bitcoin).

In Untergrundmärkten gibt es den Infostealer für 100 Dollar pro Monat; für längere Zeiträume gibt es natürlich Rabatt.

(Bild: Wayback Machine )

Darüber hinaus liefert Prynt einen Builder mit grafischer Oberfläche, mit dem man die Funktionsweise des gekauften Produkts anpassen kann. Insbesondere stellen die Käufer dort ein, wohin ihre Prynt-Version die gestohlenen Daten liefern soll. Doch wie jetzt Zscaler entdeckt hat, kopiert der Infostealer die Daten außerdem heimlich auch immer in einen Telegram-Kanal, den vermutlich der Prynt-Entwickler für seine Zwecke auswertet. Ganz sicher nur "im Sinne seiner Kunden für Performance-Optimierung und Fehlerbeseitigung" – wie auch reguläre Software- und Diensteanbieter gerne beteuern, wenn sie beim Überwachen oder Bestehlen ihrer Kunden erwischt werden.

Zahlen oder lieber doch nicht?

Außer der Schadenfreude liefert das 243. Beispiel einer solchen versteckten Zusatzfunktion in Schad-Software – die Zahl ist übrigens frei erfunden – auch eine wichtige Lektion für den Umgang mit Cyberkriminellen. Selbst wenn die hoch und heilig schwören, alle Kopien der von ihnen entwendeten Daten zu löschen, wenn man ihre Forderungen erfüllt und selbst vorhaben, diese Versprechen auch zu halten; man kann sich nie darauf verlassen, dass sie wirklich die einzigen sind, die Zugang zu diesen Daten haben. Das Zahlen von Lösegeld, um sich vor Veröffentlichung oder Weiterverkauf einmal gestohlener Daten zu schützen, ist schon deshalb mit einem hohen Risiko verbunden.

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(ju)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten