RisePro Зловред, Кража Паролей, Информации о Кредитных Картах и Криптовалютных Кошельках

Новый зловред, который крадет информацию, под названием RisePro, был обнаружен и распространяется через поддельные взломанные веб-сайты, управляемые PrivateLoader (оплата за установку), службой распространения зловредов.

Эксперты Flashpoint и Sekoia обнаружили зловред RisePro и подтвердили, что этот зловред является ранее не зарегистрированным кражей информации, который сейчас распространяется через поддельные программные взломы и генераторы ключей.

Зловред RisePro был создан, чтобы помочь злоумышленникам красть пароли жертв, информацию о кредитных картах и криптовалютные кошельки.

Flashpoint упомянул, что злоумышленники уже начали продавать тысячи логов RisePro (данные, украденные с компрометированных устройств) на российских рынках даркнета.

Кроме того, аналитики Sekoia обнаружили значительные сходства в коде между PrivateLoader, что предполагает, что платформа распространения зловредов распространяет своего собственного кражу информации для себя или продает его как услугу.

На данный момент зловред, крадущий информацию, продается в Telegram, где пользователи взаимодействуют с разработчиком и компрометированным телеграм-ботом.

RisePro — это зловред на C++, который, по данным Flashpoint, может быть основан на зловреде Vidar, крадущем пароли, так как использует ту же систему включенных зависимостей DLL.

Более того, Sekoia сообщает, что некоторые образцы RisePro включали DLL, в то время как в других зловред собирал их с сервера C2 с помощью POST-запросов.

Итак, зловред сначала отделяет зараженную систему, проверяя ключи реестра, записывает украденные данные в тестовый файл, делает скриншот, упаковывает его в ZIP-файл и затем отправляет ZIP-файл на сервер злоумышленника.

Зловред RisePro пытается украсть различные виды данных из приложений, криптокошельков и расширений браузера, как указано ниже.

Программное обеспечение – Discord, battle.net, Authy Desktop.

Криптовалютные кошельки – Bitcoin, dogecoin, DashCore, Franko, infinitecoin, Ixcoin, Megacoin, Minicoin, Namecoin, Primecoin, Terracoin, YAcoin, Zcash, Reddcoin, digitalcoin, devcoin.

Веб-браузеры – Google Chrome, Firefox, MetaMask, Torch, Comodo, Chromium Elements, 7start, Netbox, CentBrowser, Orbitum, Amigo, Opera, Brave, Vivaldi и другие.

Расширения браузера – Jxx liberty extension, MetaMusk, iWallet, SaturnWallet, GuildWallet, MewCx, Wombat, NiftyWallet, Neoline, RoninWallet, BainanceChainWallet, Yoroi, EQUALWallet, BoltX и другие.

Более того, зловред, крадущий информацию, также может сканировать папки файловой системы на наличие ценных данных, таких как квитанции, содержащие информацию о кредитных картах.

Читать: Godfather Android Зловред, Кража Данных Сайтов Банков и Криптобирж

Как упоминалось, зловред распространялся через PrivateLoader, (оплата за установку), который маскировался под сервис для взломанного программного обеспечения, генератора ключей и модификаций игр.

Злоумышленники предоставляют образец зловреда, который они надеются распространить, целевую базу и оплату команде PrivateLoader, которая использует свой веб-сайт для подделки и взлома веб-сайтов для распространения зловредов.

Служба распространения зловредов PrivateLoader была впервые замечена Intel471 в феврале 2022 года, а затем TrendMicro обнаружила, что PrivateLoader продвигает новый удаленный троян, названный NetDooka.

Кроме того, служба распространения информации почти исключительно использует либо Rocoin, либо Redline (известный кража информации).

Sekoia, компания по безопасности, сообщила, что обнаружила возможности загрузчика в новом зловреде, подчеркивая, что эта часть в значительной степени перекрывается с PrivateLoader.

Сходства заключались в настройке HTTP и порта, а также в методе обфускации строк.

Возможно, что служба распространения зловредов разработала RisePro или это эволюция PrivateLoader.

Читать: Злоумышленники Используют Уязвимость в Премиум Плагине YTTH WooCommerce Подарочных Карт