RisePro Malware Robando Contraseñas, Información de Tarjetas de Crédito y Monederos de Criptomonedas

Un nuevo malware que roba información llamado RisePro ha sido encontrado y se está propagando a través de sitios web falsos de software crackeado operados por PrivateLoader (Pago Por Instalación), un servicio de distribución de malware.

Los expertos de Flashpoint y Sekoia descubrieron el malware RisePro y han confirmado que este malware RisePro es un ladrón de información previamente no registrado que ahora se está propagando a través de cracks de software falsos y generadores de claves.

El malware RisePro ha sido creado para ayudar a los actores de amenazas a robar las contraseñas de las víctimas, la información de tarjetas de crédito y los monederos de criptomonedas.

Flashpoint mencionó que los atacantes ya han comenzado a vender miles de registros de RisePro (Datos robados de los dispositivos comprometidos) en los mercados de la dark web rusa.

Además de esto, los analistas de Sekoia encontraron similitudes sustanciales en el código entre el PrivateLoader, lo que sugiere que la plataforma de distribución de malware está propagando su propio ladrón de información para sí misma o lo está vendiendo como un servicio.

Hasta ahora, el malware que roba información se está vendiendo en Telegram, donde los usuarios interactúan con el desarrollador y el BOT de Telegram comprometido.

RisePro es un malware en C++ que, según Flashpoint, podría estar construido sobre el malware ladrón de contraseñas Vidar, ya que utiliza el mismo sistema de dependencias DLL habilitadas.

Además, Sekoia dice que algunas muestras de RisePro habilitaron las DLL, mientras que en otras, el malware las recolectó del servidor C2 utilizando solicitudes POST.

Bueno, el malware primero separa el sistema infectado inspeccionando las claves del registro, escribe los datos robados en un archivo de prueba, toma una captura de pantalla, lo empaqueta en un archivo ZIP y luego envía el archivo ZIP al servidor del atacante.

El malware RisePro intenta robar diferentes tipos de datos de aplicaciones, monederos de criptomonedas y extensiones de navegador, como se enumera a continuación.

Software – Discord, battle.net, Authy Desktop.

Monederos de criptomonedas – Bitcoin, dogecoin, DashCore, Franko, infinitecoin, Ixcoin, Megacoin, Minicoin, Namecoin, Primecoin, Terracoin, YAcoin, Zcash, Reddcoin, digitalcoin, devcoin.

Navegadores web – Google Chrome, Firefox, MetaMask, Torch, Comodo, Chromium Elements, 7start, Netbox, CentBrowser, Orbitum, Amigo, Opera, Brave, Vivaldi, y más.

Extensiones de navegador – Jxx liberty extension, MetaMusk, iWallet, SaturnWallet, GuildWallet, MewCx, Wombat, NiftyWallet, Neoline, RoninWallet, BainanceChainWallet, Yoroi, EQUALWallet, BoltX, y más.

Además, el malware ladrón de información también puede escanear carpetas del sistema de archivos en busca de datos relevantes como recibos que contienen información de tarjetas de crédito.

Leer: Godfather Android Malware Robando Datos de Sitios Web Bancarios y Exchanges de Cripto

Como se mencionó, el malware se estaba propagando a través de PrivateLoader, (Un Pago Por Instalación) que se disfrazó como un servicio para software crackeado, generador de claves y modificaciones de juegos.

Los actores de amenazas proporcionan la muestra de malware que esperan propagar, la base de objetivos y el pago al equipo de PrivateLoader, que utiliza su sitio web para falsificar y hackear sitios web para propagar malware.

El servicio de distribución de malware PrivateLoader fue visto por primera vez por Intel471 en febrero de 2022 y luego TrendMicro detectó a PrivateLoader empujando un nuevo troyano remoto, llamado NetDooka.

Además, el servicio de distribución de información es casi exclusivamente Rocoin, Redline, (famoso ladrón de información).

Sekoia, la firma de seguridad, dijo que encontró capacidades de cargador en el nuevo malware, destacando que esta parte se superpone extensamente con el PrivateLoader.

Las similitudes fueron la configuración de HTTP y puerto y el método de ofuscación de cadenas.

Es posible que el servicio de propagación de malware haya desarrollado el RisePro o que sea la evolución del PrivateLoader.

Leer: Los Atacantes Explotan una Fallo en el Plugin Premium de Tarjetas de Regalo YTTH WooCommerce