RisePro Malware stiehlt Passwörter, Kreditkarteninformationen und Kryptowährungs-Wallets

Eine neue Malware, die Informationen stiehlt und RisePro genannt wird, wurde entdeckt und wird über die gefälschten Crack-Websites verbreitet, die von PrivateLoader (Pay Per Install), einem Malware-Verteilungsdienst, betrieben werden.

Die Experten von Flashpoint & Sekoia haben die RisePro-Malware entdeckt und damit bestätigt, dass diese RisePro-Malware ein zuvor nicht aufgezeichnetes Informationsdiebstahl-Tool ist, das jetzt über gefälschte Software-Cracks und Schlüsselgeneratoren verbreitet wird.

Die RisePro-Malware wurde entwickelt, um den Bedrohungsakteuren zu helfen, die Passwörter, Kreditkarteninformationen und Kryptowährungs-Wallets der Opfer zu stehlen.

Flashpoint erwähnte, dass die Bedrohungsangreifer bereits begonnen haben, Tausende von Logs der RisePro-Logs (Daten, die von den kompromittierten Geräten gestohlen wurden) auf den russischen Dark-Web-Märkten zu verkaufen.

Darüber hinaus fanden die Analysten von Sekoia erhebliche Ähnlichkeiten im Code zwischen dem PrivateLoader, was darauf hindeutet, dass die Malware-Verteilungsplattform ihren eigenen Informationsdiebstahl-Tool verbreitet oder es als Dienst verkauft.

Derzeit wird die informationsstehlende Malware auf Telegram verkauft, wo die Benutzer mit dem Entwickler und dem kompromittierten Telegram-BOT interagieren.

RisePro ist eine C++-Malware, die laut Flashpoint möglicherweise auf der Vidar-Passwortdiebstahl-Malware basiert, da sie dasselbe System von aktivierten DLL-Abhängigkeiten verwendet.

Darüber hinaus sagt Sekoia, dass einige Proben der RisePro die aktivierten DLLs ermöglichten, während die Malware in anderen Fällen diese vom C2-Server mithilfe von POST-Anfragen sammelte.

Nun, die Malware trennt zunächst das infizierte System, indem sie die Registrierungsschlüssel inspiziert, schreibt die gestohlenen Daten in die Testdatei, macht einen Screenshot, packt ihn in eine ZIP-Datei und sendet dann die ZIP-Datei an den Server des Bedrohungsangreifers.

Die RisePro-Malware versucht, verschiedene Arten von Daten aus Anwendungen, Krypto-Wallets und Browsererweiterungen zu stehlen, wie unten aufgeführt.

Software – Discord, battle.net, Authy Desktop.

Kryptowährungs-Wallets – Bitcoin, Dogecoin, DashCore, Franko, Infinitecoin, Ixcoin, Megacoin, Minicoin, Namecoin, Primecoin, Terracoin, YAcoin, Zcash, Reddcoin, Digitalcoin, Devcoin.

Webbrowser – Google Chrome, Firefox, MetaMask, Torch, Comodo, Chromium Elements, 7start, Netbox, CentBrowser, Orbitum, Amigo, Opera, Brave, Vivaldi und mehr.

Browsererweiterungen – Jxx Liberty Extension, MetaMusk, iWallet, SaturnWallet, GuildWallet, MewCx, Wombat, NiftyWallet, Neoline, RoninWallet, BainanceChainWallet, Yoroi, EQUALWallet, BoltX und mehr.

Darüber hinaus kann die informationsstehlende Malware auch Dateisystemordner nach relevanten Daten wie Quittungen durchsuchen, die Kreditkarteninformationen enthalten.

Lesen: Godfather Android Malware stiehlt Daten von Bank-Websites und Krypto-Börsen

Wie bereits erwähnt, wurde die Malware von PrivateLoader verbreitet, (ein Pay Per Install), das sich als Dienst für gecrackte Software, Schlüsselgenerator und Spielmodifikationen tarnte.

Die Bedrohungsakteure geben der Malware-Probe, die sie hoffen zu verbreiten, Zielbasis und Zahlung an das PrivateLoader-Team, das ihre Website nutzt, um gefälschte und gehackte Websites zu erstellen, um Malware zu verbreiten.

Der PrivateLoader-Malware-Verteilungsdienst wurde erstmals von Intel471 im Februar 2022 gesehen, und dann entdeckte TrendMicro, dass PrivateLoader einen neuen Remote-Trojaner namens NetDooka verbreitete.

Außerdem ist der Informationsverteilungsdienst fast ausschließlich entweder Rocoin, Redline, (berühmter Informationsdieb).

Sekoia, die Sicherheitsfirma, sagte, dass sie Ladefähigkeiten in der neuen Malware gefunden hat, und hob hervor, dass dieser Teil umfangreich mit dem PrivateLoader überlagert.

Die Ähnlichkeiten waren die HTTP- und Port-Einstellungen sowie die Methode zur Obfuskation der Strings.

Es ist möglich, dass der Malware-verbreitende Dienst die RisePro entwickelt hat oder dass es sich um eine Evolution des PrivateLoader handelt.

Lesen: Angreifer nutzen eine Schwachstelle im YTTH WooCommerce Gift Card Premium Plugin