RisePro Malware Volant des Mots de Passe, Informations de Carte de Crédit & Portefeuilles de Cryptomonnaie

Un nouveau malware qui vole des informations nommé RisePro a été découvert et se propage à travers de faux sites web crackés opérés par le PrivateLoader (Pay Per Install), un service de distribution de malware.

Les experts de Flashpoint et Sekoia ont découvert le malware RisePro et ont ainsi confirmé que ce malware RisePro est un voleur d’informations non enregistré auparavant qui est maintenant diffusé via de faux cracks logiciels et des générateurs de clés.

Le malware RisePro a été créé pour aider les acteurs de la menace à voler les mots de passe, les informations de carte de crédit et les portefeuilles de cryptomonnaie des victimes.

Flashpoint a mentionné que les attaquants ont déjà commencé à vendre des milliers de journaux de RisePro (données volées des appareils compromis) sur les marchés du dark web russe.

En plus de cela, les analystes de Sekoia ont trouvé des similitudes de code substantielles entre le PrivateLoader, ce qui suggère que la plateforme de distribution de malware propage son propre voleur d’informations pour elle-même ou le vend comme un service.

À l’heure actuelle, le malware voleur d’informations est vendu sur Telegram, où les utilisateurs interagissent avec le développeur et le BOT Telegram compromis.

RisePro est un malware C++ qui, selon Flashpoint, pourrait être construit sur le malware de vol de mots de passe Vidar car il utilise le même système de dépendances DLL activées.

De plus, Sekoia dit que certains échantillons de RisePro ont activé les DLL, tandis que dans d’autres, le malware les a collectées depuis le serveur C2 en utilisant des requêtes POST.

Eh bien, le malware sépare d’abord le système infecté en inspectant les clés de registre, écrit les données volées dans un fichier de test, prend une capture d’écran, les regroupe dans un fichier ZIP, puis envoie le fichier ZIP au serveur de l’attaquant.

Le malware RisePro essaie de voler différents types de données à partir d’applications, de portefeuilles crypto et d’extensions de navigateur, comme listé ci-dessous.

Logiciels – Discord, battle.net, Authy Desktop.

Portefeuilles de cryptomonnaie – Bitcoin, dogecoin, DashCore, Franko, infinitecoin, Ixcoin, Megacoin, Minicoin, Namecoin, Primecoin, Terracoin, YAcoin, Zcash, Reddcoin, digitalcoin, devcoin.

Navigateurs web – Google Chrome, Firefox, MetaMask, Torch, Comodo, Chromium Elements, 7start, Netbox, CentBrowser, Orbitum, Amigo, Opera, Brave, Vivaldi, et plus.

Extensions de navigateur – Jxx liberty extension, MetaMusk, iWallet, SaturnWallet, GuildWallet, MewCx, Wombat, NiftyWallet, Neoline, RoninWallet, BainanceChainWallet, Yoroi, EQUALWallet, BoltX, et plus.

De plus, le malware voleur d’informations peut également scanner les dossiers du système de fichiers à la recherche de données pertinentes comme des reçus contenant des informations de carte de crédit.

Lire: Godfather Android Malware Volant des Données des Sites Bancaires & Échanges de Cryptomonnaie

Comme mentionné, le malware était diffusé par le PrivateLoader, (un Pay Per Install) qui se déguisait en service pour logiciels crackés, générateur de clés et modifications de jeux.

Les acteurs de la menace fournissent l’échantillon de malware qu’ils espèrent propager, la base de ciblage et le paiement à l’équipe de PrivateLoader, qui utilise leur site web pour simuler et pirater des sites web afin de propager le malware.

Le service de distribution de malware PrivateLoader a été vu pour la première fois par Intel471 en février 2022, puis TrendMicro a repéré PrivateLoader poussant un nouveau Trojan à distance, nommé NetDooka.

De plus, le service de distribution d’informations est presque exclusivement soit Rocoin, soit Redline, (un célèbre voleur d’informations).

Sekoia, la société de sécurité, a déclaré qu’elle avait trouvé des capacités de loader dans le nouveau malware, soulignant que cette partie se superpose largement avec le PrivateLoader.

Les similitudes étaient la configuration HTTP et de port et la méthode d’obfuscation des chaînes.

Il est possible que le service de propagation de malware ait développé le RisePro ou qu’il soit l’évolution du PrivateLoader.

Lire: Les attaquants exploitent une faille dans le plugin premium de carte-cadeau YTTH WooCommerce