RisePro Malware Roubando Senhas, Informações de Cartões de Crédito e Carteiras de Criptomoedas

Um novo malware que rouba informações chamado RisePro foi encontrado e está sendo espalhado através de sites falsos crackeados operados pelo PrivateLoader (Pay Per Install), um serviço de distribuição de malware.

Os especialistas da Flashpoint e Sekoia descobriram o malware RisePro e assim confirmaram que este malware RisePro é um ladrão de informações anteriormente não registrado que agora está sendo espalhado via cracks de software falsos e geradores de chaves.

O malware RisePro foi criado para ajudar os atores de ameaça a roubar as senhas das vítimas, informações de cartões de crédito e carteiras de criptomoedas.

A Flashpoint mencionou que os atacantes já começaram a vender milhares dos logs do RisePro (dados roubados dos dispositivos comprometidos) nos mercados da dark web russa.

Além disso, os analistas da Sekoia encontraram semelhanças substanciais de código entre o PrivateLoader, o que sugere que a plataforma de distribuição de malware está espalhando seu próprio ladrão de informações para si mesma ou está vendendo-o como um serviço.

Até agora, o malware que rouba informações está sendo vendido no Telegram, onde os usuários interagem com o desenvolvedor e o BOT do Telegram comprometido.

RisePro é um malware em C++ que, segundo a Flashpoint, pode ser construído sobre o malware de roubo de senhas Vidar, pois usa o mesmo sistema de dependências DLL habilitadas.

Além disso, a Sekoia diz que algumas amostras do RisePro habilitaram as DLLs, enquanto, em outras, o malware as coletou do servidor C2 usando as requisições POST.

Bem, o malware primeiro separa o sistema infectado inspecionando as chaves do registro, escreve os dados roubados em um arquivo de teste, tira uma captura de tela, compacta em um arquivo ZIP e então envia o arquivo ZIP para o servidor do atacante.

O malware RisePro tenta roubar diferentes tipos de dados de aplicativos, carteiras de criptomoedas e extensões de navegador, conforme listado abaixo.

Software – Discord, battle.net, Authy Desktop.

Carteiras de criptomoedas – Bitcoin, dogecoin, DashCore, Franko, infinitecoin, Ixcoin, Megacoin, Minicoin, Namecoin, Primecoin, Terracoin, YAcoin, Zcash, Reddcoin, digitalcoin, devcoin.

Navegadores da Web – Google Chrome, Firefox, MetaMask, Torch, Comodo, Chromium Elements, 7start, Netbox, CentBrowser, Orbitum, Amigo, Opera, Brave, Vivaldi, e mais.

Extensões de Navegador – Jxx liberty extension, MetaMusk, iWallet, SaturnWallet, GuildWallet, MewCx, Wombat, NiftyWallet, Neoline, RoninWallet, BainanceChainWallet, Yoroi, EQUALWallet, BoltX, e mais.

Além disso, o malware ladrão de informações também pode escanear pastas do sistema de arquivos em busca de dados relevantes, como recibos contendo informações de cartões de crédito.

Leia: Godfather Android Malware Roubando Dados de Sites Bancários e Exchanges de Cripto

Como mencionado, o malware estava sendo espalhado pelo PrivateLoader, (Um Pay Per Install) que se disfarçou como um serviço para software crackeado, gerador de chaves e modificações de jogos.

Os atores de ameaça fornecem a amostra de malware que esperam espalhar, visando a base e o pagamento para a equipe do PrivateLoader, que usa seu site para falsificar e hackear sites para espalhar malware.

O serviço de distribuição de malware PrivateLoader foi visto pela primeira vez pela Intel471 em fevereiro de 2022 e depois a TrendMicro detectou o PrivateLoader empurrando um novo Trojan Remoto, chamado NetDooka.

Além disso, o serviço de distribuição de informações é quase exclusivamente Rocoin, Redline, (famoso ladrão de informações).

A Sekoia, a empresa de segurança, disse que encontrou capacidades de loader no novo malware, destacando que essa parte se sobrepõe extensivamente ao PrivateLoader.

As semelhanças foram a configuração de HTTP e porta e o método de ofuscação de strings.

É possível que o serviço de espalhamento de malware tenha desenvolvido o RisePro ou a evolução do PrivateLoader.

Leia: Atacantes Exploraram uma Falha no Plugin Premium de Cartão Presente YTTH WooCommerce