威胁分析人员发现了信息窃取恶意软件感染不断增长的空间的另一个补充，称为 Prynt Stealer，它提供了强大的功能和额外的键盘记录器和剪辑器模块。

Prynt Stealer 针对大量网络浏览器、消息传递应用程序和游戏应用程序，还可以执行直接的财务妥协。

它的作者以基于时间的订阅方式销售该工具，例如每月 100 美元、每季度 200 美元或一年 700 美元，但它也以 900 美元的终身许可出售。
此外，购买者可能会利用恶意软件的构建器来创建专用、精简且难以检测的 Prynt 旋转，以部署在目标操作中。

Prynt Stealer 的许可证费用（ZZQIDC）
广泛的窃取功能
Cyble 的恶意软件分析师分析了 Prynt 以评估新的信息窃取程序，并报告说该工具的制作优先考虑隐蔽性，具有二进制混淆和 Rijndael 加密字符串。

Prynt 的混淆二进制文件 (Cyble)
此外，它的所有 C2 通信都使用 AES256 加密，而为在泄露之前临时存储被盗数据而创建的 AppData 文件夹（和子文件夹）被隐藏。

硬编码字符串解密 （Cyble）
首先，Prynt Stealer 会扫描主机中的所有驱动器，并窃取大小低于 5,120 字节 (5 KB) 的文档、数据库文件、源代码文件和图像文件。

从主机窃取小文件 （Cyble）
接下来，该恶意软件针对存储在基于 Chrome、MS Edge 和基于 Firefox 的网络浏览器中的自动填充数据、凭据（帐户密码）、信用卡信息、搜索历史和 cookie。

从 Chromium 浏览器中窃取数据 (Cyble)
在这个阶段，恶意软件使用 ScanData () 检查浏览器数据中是否存在与银行、加密货币或色情网站相关的任何关键字，如果存在则窃取它们。

扫描特定服务 (Cyble)
接下来，Prynt 以 Discord、Pidgin 和 Telegram 等消息传递应用程序为目标，如果系统上存在 Discord 令牌，它也会抢夺。

来自 Ubisoft Uplay、Steam 和 Minecraft 的游戏应用授权文件、保存游戏文件和其他有价值的数据也被盗。

                            窃取 Minecraft 数据 （Cyble）

然后，恶意软件会查询注册表以找到加密货币钱包的数据目录，例如 Zcash、Armory、Bytecoin、Jaxx、Ethereum、AtomicWallet、Guarda 和 Coinomi 加密货币钱包。

由于这些数据目录包含实际的钱包配置文件和数据库，攻击者收集它们以窃取存储在其中的加密货币。

                               扫描钱包的注册表 （Cyble）
最后，Prynt 从 FileZilla、OpenVPN、NordVPN 和 ProtonVPN 窃取数据，将关联的帐户凭据复制到 AppData 中相应的子文件夹中。

在渗透之前，Prynt Stealer 会执行一般系统分析操作，包括枚举正在运行的进程、截取摘要并将其与主机中使用的网络凭据和 Windows 产品密钥捆绑在一起。

Windows 密钥也被盗 （Cyble）
压缩数据的最终盗窃是通过 Telegram 机器人完成的，该机器人使用安全的加密网络连接将所有内容传递到远程服务器。

Telegram 数据泄露步骤 (Cyble)
Clipper 和键盘记录器
除了上述与当今大多数信息窃取者的功能一致的功能外，Prynt 还配备了剪辑器和键盘记录器。

Clipper 是一种工具，用于监控受感染机器剪贴板上的复制数据，以识别加密货币钱包地址，并在运行中将其替换为受威胁者控制的地址。

每当受害者尝试使用加密货币向特定地址付款时，恶意软件就会偷偷切换收件人的地址，并将付款转移给黑客。

键盘记录器是另一个附加模块，它使远程恶意软件操作员能够通过记录所有按键来执行批量信息窃取。

Prynt 的键盘记录模块 (Cyble)
Prynt 是网络犯罪分子可以选择的大量可用信息窃取恶意软件工具的另一个补充，其中许多工具最近出现在野外。

虽然它的键盘记录器、剪辑器和广泛的窃取功能结合隐蔽操作使其成为广泛部署的良好候选者，但其相对较高的成本（与其他最近出现的恶意软件相比）和令人怀疑的服务器基础设施可靠性可能会阻碍其发展。

尽管如此，Prynt 仍然是一种危险的恶意软件，它可以窃取敏感的用户信息并导致重大的经济损失、帐户泄露和数据泄露。