RisePro Malware che Ruba Password, Informazioni su Carte di Credito e Wallet di Criptovalute

Un nuovo malware che ruba informazioni chiamato RisePro è stato trovato ed è in fase di diffusione attraverso siti web falsi crackati gestiti da PrivateLoader (Pay Per Install), un servizio di distribuzione di malware.

Gli esperti di Flashpoint e Sekoia hanno scoperto il malware RisePro e hanno così confermato che questo malware RisePro è un ladro di informazioni precedentemente non registrato che ora viene diffuso tramite falsi crack di software e generatori di chiavi.

Il malware RisePro è stato creato per aiutare gli attori della minaccia a rubare le password delle vittime, le informazioni sulle carte di credito e i wallet di criptovalute.

Flashpoint ha menzionato che gli attaccanti hanno già iniziato a vendere migliaia dei log di RisePro (dati rubati dai dispositivi compromessi) sui mercati del dark web russo.

In aggiunta a questo, gli analisti di Sekoia hanno trovato sostanziali somiglianze nel codice tra il PrivateLoader, il che suggerisce che la piattaforma di distribuzione di malware sta diffondendo il proprio ladro di informazioni per se stessa o lo sta vendendo come servizio.

Ad oggi, il malware che ruba informazioni è in vendita su Telegram, dove gli utenti interagiscono con lo sviluppatore e il BOT di Telegram compromesso.

RisePro è un malware C++ che, secondo Flashpoint, potrebbe essere costruito sul malware di furto password Vidar poiché utilizza lo stesso sistema di dipendenze DLL abilitate.

Inoltre, Sekoia afferma che alcuni campioni di RisePro hanno abilitato le DLL, mentre in altri, il malware le ha raccolte dal server C2 utilizzando le richieste POST.

Bene, il malware prima separa il sistema infetto ispezionando le chiavi di registro, scrive i dati rubati in un file di test, scatta uno screenshot, lo impacchetta in un file ZIP e poi invia il file ZIP al server dell’attaccante.

Il malware RisePro cerca di rubare diversi tipi di dati da applicazioni, wallet di criptovalute ed estensioni del browser, come elencato di seguito.

Software – Discord, battle.net, Authy Desktop.

Wallet di criptovalute – Bitcoin, dogecoin, DashCore, Franko, infinitecoin, Ixcoin, Megacoin, Minicoin, Namecoin, Primecoin, Terracoin, YAcoin, Zcash, Reddcoin, digitalcoin, devcoin.

Browser web – Google Chrome, Firefox, MetaMask, Torch, Comodo, Chromium Elements, 7start, Netbox, CentBrowser, Orbitum, Amigo, Opera, Brave, Vivaldi e altro.

Estensioni del browser – Estensione Jxx liberty, MetaMusk, iWallet, SaturnWallet, GuildWallet, MewCx, Wombat, NiftyWallet, Neoline, RoninWallet, BainanceChainWallet, Yoroi, EQUALWallet, BoltX e altro.

Inoltre, il malware ladro di informazioni può anche scansionare le cartelle del file system per dati rilevanti come ricevute contenenti informazioni sulle carte di credito.

Leggi: Godfather Android Malware che Ruba Dati di Siti Web Bancari e di Scambi di Criptovalute

Come accennato, il malware veniva diffuso da PrivateLoader, (un Pay Per Install) che si mascherava da servizio per software crackati, generatore di chiavi e modifiche di giochi.

Gli attori della minaccia forniscono il campione di malware che sperano di diffondere, la base di targeting e il pagamento al team di PrivateLoader, che utilizza il proprio sito web per falsificare e hackerare siti web per diffondere malware.

Il servizio di distribuzione di malware PrivateLoader è stato visto per la prima volta da Intel471 nel febbraio 2022 e poi TrendMicro ha individuato PrivateLoader che spingeva un nuovo Trojan remoto, chiamato NetDooka.

Inoltre, il servizio di distribuzione di informazioni è quasi esclusivamente Rocoin, Redline, (famoso ladro di informazioni).

Sekoia, la società di sicurezza, ha dichiarato di aver trovato capacità di loader nel nuovo malware, evidenziando che questa parte si sovrappone ampiamente con il PrivateLoader.

Le somiglianze erano nella configurazione HTTP e della porta e nel metodo di offuscamento delle stringhe.

È possibile che il servizio di diffusione di malware abbia sviluppato il RisePro o che sia l’evoluzione del PrivateLoader.

Leggi: Gli Attaccanti Sfruttano una Vulnerabilità nel Plugin Premium per Gift Card YTTH WooCommerce