악성코드 · 2 min read · Oct 26, 2025

RisePro 악성코드, 비밀번호, 신용카드 정보 및 암호화폐 지갑 탈취

악성코드

새로운 정보 탈취 악성코드인 RisePro가 발견되었으며, PrivateLoader(지불당 설치)라는 악성코드 배포 서비스를 통해 운영되는 가짜 크랙 웹사이트를 통해 퍼지고 있습니다.

Flashpoint 및 Sekoia의 전문가들은 RisePro 악성코드를 발견하였으며, 이 RisePro 악성코드는 이제 가짜 소프트웨어 크랙 및 키 생성기를 통해 퍼지고 있는 이전에 기록되지 않은 정보 탈취기임을 확인했습니다.

RisePro 악성코드는 위협 행위자들이 피해자의 비밀번호, 신용카드 정보 및 암호화폐 지갑을 탈취하는 데 도움을 주기 위해 만들어졌습니다.

Flashpoint는 위협 공격자들이 이미 러시아 다크 웹 시장에서 RisePro 로그(손상된 장치에서 탈취된 데이터)의 수천 개를 판매하기 시작했다고 언급했습니다.

이와 더불어, Sekoia의 분석가들은 PrivateLoader 간의 상당한 코드 유사성을 발견했으며, 이는 악성코드 배포 플랫폼이 자체 정보 탈취기를 퍼뜨리거나 이를 서비스로 판매하고 있음을 시사합니다.

현재 정보 탈취 악성코드는 Telegram에서 판매되고 있으며, 사용자들은 개발자 및 손상된 텔레그램 봇과 상호작용하고 있습니다.

RisePro 악성코드 C2 서버 패널

RisePro는 C++ 악성코드로, Flashpoint에 따르면 Vidar 비밀번호 탈취 악성코드를 기반으로 만들어졌을 가능성이 있으며, 동일한 DLL 종속성 시스템을 사용합니다.

RisePro 악성코드, 비밀번호, 신용카드 정보 및 암호화폐 지갑 탈취 1

더욱이, Sekoia는 RisePro의 일부 샘플이 DLL을 활성화했으며, 다른 샘플에서는 악성코드가 POST 요청을 사용하여 C2 서버에서 이를 수집했다고 말합니다.

악성코드는 먼저 레지스트리 키를 검사하여 감염된 시스템을 분리하고, 탈취한 데이터를 테스트 파일에 기록한 후, 스크린샷을 찍고 이를 ZIP 파일로 묶은 다음, ZIP 파일을 위협 공격자의 서버로 전송합니다.

RisePro 악성코드는 아래에 나열된 애플리케이션, 암호화폐 지갑 및 브라우저 확장 프로그램에서 다양한 종류의 데이터를 탈취하려고 시도합니다.

소프트웨어 – Discord, battle.net, Authy Desktop.

암호화폐 지갑 – Bitcoin, dogecoin, DashCore, Franko, infinitecoin, Ixcoin, Megacoin, Minicoin, Namecoin, Primecoin, Terracoin, YAcoin, Zcash, Reddcoin, digitalcoin, devcoin.

웹 브라우저 – Google Chrome, Firefox, MetaMask, Torch, Comodo, Chromium Elements, 7start, Netbox, CentBrowser, Orbitum, Amigo, Opera, Brave, Vivaldi 등.

브라우저 확장 프로그램 – Jxx liberty extension, MetaMusk, iWallet, SaturnWallet, GuildWallet, MewCx, Wombat, NiftyWallet, Neoline, RoninWallet, BainanceChainWallet, Yoroi, EQUALWallet, BoltX 등.

또한, 정보 탈취 악성코드는 신용카드 정보가 포함된 영수증과 같은 유용한 데이터를 위해 파일 시스템 폴더를 스캔할 수도 있습니다.

읽기: Godfather Android 악성코드, 은행 웹사이트 및 암호화폐 거래소 데이터 탈취

앞서 언급했듯이, 이 악성코드는 PrivateLoader에 의해 퍼지고 있으며, 이는 크랙 소프트웨어, 키 생성기 및 게임 수정 서비스를 가장한 것입니다.

위협 행위자들은 퍼뜨리기를 희망하는 악성코드 샘플, 타겟 기반 및 결제를 PrivateLoader 팀에 제공하며, 이 팀은 그들의 웹사이트를 사용하여 가짜 및 해킹된 웹사이트를 통해 악성코드를 퍼뜨립니다.

PrivateLoader 악성코드 배포 서비스는 2022년 2월 Intel471에 의해 처음 발견되었으며, 이후 TrendMicro는 PrivateLoader가 NetDooka라는 새로운 원격 트로이안을 밀어내는 것을 발견했습니다.

또한, 정보 배포 서비스는 거의 독점적으로 Rocoin, Redline(유명한 정보 탈취기)입니다.

Sekoia 보안 회사는 새로운 악성코드에서 로더 기능을 발견했으며, 이 부분이 PrivateLoader와 광범위하게 겹친다고 강조했습니다.

RisePro와 PrivateLoader 간의 HTTP 포트 코드 유사성

유사성은 HTTP 및 포트 설정과 문자열 난독화 방법이었습니다.

악성코드 전파 서비스가 RisePro를 개발했거나 PrivateLoader의 진화일 가능성이 있습니다.

읽기: 공격자들이 YTTH WooCommerce 기프트 카드 프리미엄 플러그인의 결함을 악용하다

Share: X/Twitter LinkedIn
#악성코드

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.