Η PPI (pay-per-install) υπηρεσία PrivateLoader, διανέμει ένα ολοκαίνουργιο info-stealer malware με την ονομασία “RisePro” το οποίο κλέβει πληροφορίες χρηστών μέσω ψεύτικων crack sites.
Το RisePro δημιουργήθηκε για να διευκολύνει τους εγκληματίες να κλέβουν crypto wallets, πιστωτικές κάρτες και κωδικούς πρόσβασης από τις μολυσμένες συσκευές των θυμάτων.
Δείτε επίσης: Χάκερ λέει ότι πουλάει τα data 400 εκατ. χρηστών του Twitter
Αυτήν την εβδομάδα, οι αναλυτές των εταιρειών Flashpoint και Sekoia, ανακάλυψαν το malware και οι δύο εταιρείες κυβερνοασφάλειας επιβεβαίωσαν έκτοτε ότι το RisePro είναι ένα info-stealer που προηγουμένως είχε περάσει απαρατήρητο, αλλά τώρα εξαπλώνεται μέσω ψεύτικων crack λογισμικών και key generator.
Χιλιάδες logs του RisePro ή πακέτα δεδομένων που έχουν κλαπεί από μολυσμένες συσκευές, πωλούνται ήδη στις ρωσικές dark web αγορές, σύμφωνα με την εταιρεία Flashpoint.
H εταιρεία Sekoia ανακάλυψε αρκετές ομοιότητες στο κώδικα μεταξύ του PrivateLoader και του RisePro, υποδεικνύοντας ότι η πλατφόρμα διανομής malware πιθανότατα διαδίδει τώρα τον δικό της info-stealer.
Χαρακτηριστικά και πληροφορίες σχετικά με το RisePro.
Το RisePro είναι ένα malware γραμμένο σε C++ που ενδέχεται να έχει επηρεαστεί από το Vidar (malware κλοπής κωδικών πρόσβασης), σύμφωνα με την εταιρεία Flashpoint, μιας και χρησιμοποιεί τα ίδια ενσωματωμένα DLL dependencies.
Η Sekoia εξηγεί περαιτέρω πως ορισμένα δείγματα του RisePro ενσωματώνουν τα DLL, ενώ σε άλλα δείγματα, τα ανακτά μέσω POST requests από τον C2 server.
Το info-stealer malware παίρνει «αποτυπώματα» από τα συστήματα ελέγχοντας τα registry keys και στη συνέχεια καταγράφει τις κλεμμένες πληροφορίες σε ένα text file, βγάζει ένα screenshot και τα στέλνει πίσω στον επιτιθέμενο σε ένα αρχείο .zip.
Όπως αναφέρεται παρακάτω, το RisePro προσπαθεί να κλέψει μια ποικιλία δεδομένων από προγράμματα, browsers, crypro wallets και browser extensions όπως αναφέρεται παρακάτω:
Browsers: Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon, Atom.
Extensions: Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet.
Software: Discord, battle.net, Authy Desktop.
Cryptocurrency assets: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin, Reddcoin.
Εκτός από τα παραπάνω, το RisePro μπορεί να σαρώσει το filesystem για δεδομένα αξίας, όπως αποδείξεις που περιέχουν πληροφορίες πιστωτικών καρτών.
Δείτε επίσης: eBay: Βιομετρικές συσκευές περιείχαν στρατιωτικά δεδομένα των ΗΠΑ
H Newpark Resources χτυπήθηκε από Ransomware
Πρόστιμο ΜΕΤΑ: Παράνομη Συλλογή Δεδομένων στην Νότια Κορέα
Έργο τέχνης του ρομπότ Ai-Da πωλήθηκε για $ 1,3 εκατ.
Η εμφάνιση του PrivateLoader και ποια είναι η σχέση του με το RisePro
Το PrivateLoader, μια malware PPI υπηρεσία, μεταμφιέζεται σε crack λογισμικών, key generators και game modifications (mods).
Το PrivateLoader χρησιμοποιεί το δικό του δίκτυο από ψεύτικα και παραβιασμένα sites για τη διανομή του malware, με την πρώτη αναφορά να γίνεται τον Φεβρουάριο του ’22.
Η εταιρεία Intel471 ήταν αυτή που το εντόπισε για πρώτη φορά και τον Μάιο του 2022 η εταιρεία Trend Micro παρατήρησε ότι το PrivateLoader προωθούσε ένα νέο trojan απομακρυσμένης πρόσβασης (RAT) με την ονομασία “NetDooka”.
Μέχρι πρόσφατα, το PrivateLoader διένειμε σχεδόν αποκλειστικά είτε το RedLine είτε το Raccoon, δύο δημοφιλείς info-stealers.
Τώρα που προστέθηκε το RisePro, η Sekoia αναφέρει ότι ανακάλυψε πολλές ομοιότητες στους κώδικες του νέου malware και του PrivateLoader.
Οι ομοιότητες περιλαμβάνουν την τεχνική obfuscation, το obfuscation μηνυμάτων HTTP και των HTTP ports.
Είναι πιθανό το RisePro να δημιουργήθηκε από τα ίδια άτομα που δημιούργησαν το PrivateLoader.
Μια άλλη πιθανότητα είναι ότι το RisePro malware είναι η εξέλιξη του PrivateLoader ή ότι δημιουργήθηκε από έναν πρώην προγραμματιστή που τώρα προωθεί μια παρόμοια υπηρεσία PPI.
Με βάση όλα τα στοιχεία που συγκεντρώθηκαν μέχρι τώρα, η εταιρεία Sekoia δεν μπόρεσε να προσδιορίσει την ακριβή σύνδεση μεταξύ των δύο.
Πηγή πληροφοριών: bleepingcomputer.com