RiseProマルウェアがパスワード、クレジットカード情報、暗号通貨ウォレットを盗む

新しい情報を盗むマルウェア、RiseProが発見され、PrivateLoader（ペイ・パー・インストール）によって運営される偽のクラックサイトを通じて拡散されています。

FlashpointとSekoiaの専門家はRiseProマルウェアを発見し、このRiseProマルウェアが以前に記録されていない情報盗難者であり、偽のソフトウェアクラックやキー生成器を介して拡散されていることを確認しました。

RiseProマルウェアは、脅威アクターが被害者のパスワード、クレジットカード情報、暗号通貨ウォレットを盗むのを助けるために作成されました。

Flashpointは、脅威攻撃者がすでにRiseProのログ（侵害されたデバイスから盗まれたデータ）の数千件をロシアのダークウェブ市場で販売し始めたと述べています。

これに加えて、SekoiaのアナリストはPrivateLoaderとの間にかなりのコードの類似性を発見し、これはマルウェア配布プラットフォームが自らの情報盗難者を拡散しているか、サービスとして販売していることを示唆しています。

現在、情報を盗むマルウェアはTelegramで販売されており、ユーザーは開発者や侵害されたTelegram BOTとやり取りしています。

RiseProはC++マルウェアであり、Flashpointによると、Vidarパスワード盗難マルウェアに基づいて構築されている可能性があり、同じDLL依存関係のシステムを使用しています。

さらに、Sekoiaは、RiseProのいくつかのサンプルがDLLを有効にしたのに対し、他のサンプルではマルウェアがC2サーバーからPOSTリクエストを使用してそれらを収集したと述べています。

マルウェアは最初に感染したシステムをレジストリキーを調べて分離し、盗まれたデータをテストファイルに書き込み、スクリーンショットを取り、それをZIPファイルにまとめてから、ZIPファイルを脅威攻撃者のサーバーに送信します。

RiseProマルウェアは、以下にリストされているアプリケーション、暗号ウォレット、ブラウザ拡張機能からさまざまな種類のデータを盗もうとします。

ソフトウェア – Discord、battle.net、Authy Desktop。

暗号通貨ウォレット – Bitcoin、dogecoin、DashCore、Franko、infinitecoin、Ixcoin、Megacoin、Minicoin、Namecoin、Primecoin、Terracoin、YAcoin、Zcash、Reddcoin、digitalcoin、devcoin。

ウェブブラウザ – Google Chrome、Firefox、MetaMask、Torch、Comodo、Chromium Elements、7start、Netbox、CentBrowser、Orbitum、Amigo、Opera、Brave、Vivaldiなど。

ブラウザ拡張機能 – Jxx liberty extension、MetaMusk、iWallet、SaturnWallet、GuildWallet、MewCx、Wombat、NiftyWallet、Neoline、RoninWallet、BainanceChainWallet、Yoroi、EQUALWallet、BoltXなど。

さらに、情報盗難者マルウェアは、クレジットカード情報を含む領収書のような重要なデータをファイルシステムフォルダーでスキャンすることもできます。

読む: Godfather Androidマルウェアが銀行ウェブサイトと暗号交換のデータを盗む

前述のように、マルウェアはPrivateLoaderによって拡散されており、これはクラックソフトウェア、キー生成器、ゲームの改造のサービスとして偽装されています。

脅威アクターは、拡散したいマルウェアサンプル、ターゲティングの基準、支払いをPrivateLoaderチームに提供し、彼らのウェブサイトを使用して偽のウェブサイトをハッキングしてマルウェアを拡散します。

PrivateLoaderマルウェア配布サービスは、2022年2月にIntel471によって初めて発見され、その後TrendMicroがPrivateLoaderが新しいリモートトロイの木馬NetDookaを押し進めているのを発見しました。

また、情報配布サービスはほぼ独占的にRocoin、Redline（有名な情報盗難者）です。

Sekoiaというセキュリティ会社は、新しいマルウェアにローダー機能があることを発見し、この部分がPrivateLoaderと広範に重なっていることを強調しました。

類似点はHTTPとポートの設定、文字列の難読化手法でした。

マルウェア拡散サービスがRiseProを開発したか、PrivateLoaderの進化である可能性があります。

読む: 攻撃者がYTTH WooCommerceギフトカードプレミアムプラグインの脆弱性を悪用