Эксперты компаний Flashpoint и Sekoia обнаружили новую малварь для кражи данных RisePro, которая распространяется через сайты с фальшивыми кряками. Эти сайты созданы и управляются с помощью pay-per-install (PPI) сервиса для распространения вредоносов PrivateLoader.

Обе компании пишут, что RisePro — это новая угроза, ориентированная на кражу данных банковских карт, паролей и данных криптовалютных кошельков с зараженных устройств. Вредонос распространяется под видом генераторов ключей и кряков для различного софта, а также модов для игр.

Загрузка на вредоносном сайте

Flashpoint сообщает, что операторы малвари уже начали продавать тысячи логов RisePro (данные, собранные с зараженных устройств) на русскоязычных маркетплейсах в даркнете.

Аналитики Sekoia говорят, что обнаружили значительное сходство между кодом PrivateLoader и RisePro. Они полагают, что операторы платформы для распространения вредоносных программ запустили собственный инфостилер (для себя, либо в качестве нового сервиса). Сообщается, что в настоящее время RisePro доступен для покупки через Telegram.

RisePro написан на C++ и, вероятно, построен на исходном коде другого инфостилера — Vidar, поскольку использует ту же систему зависимостей DLL.

После заражения малварь сканирует скомпрометированную систему, тщательно изучает ключи реестра и сохраняет найденные данные в текстовый файл, делает снимок экрана. В итоге вредонос упаковывает все собранное в ZIP-архив, а затем отправляет архив на сервер злоумышленников.

RisePro пытается украсть широкий спектр данных из приложений, браузеров, криптовалютных кошельков и расширений для браузеров:

  • Браузеры: Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon, Atom.
  • Расширения для браузеров: Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet.
  • ПО: Discord, battle.net, Authy Desktop.
  • Криптовалютные активы: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin, Reddcoin.

Кроме того, RisePro может сканировать папки файловой системы в поисках интересных данных, например, квитанций, содержащих информацию о банковской карте.

Исследователи напоминают, что упомянутый выше PrivateLoader представляет собой сервис для распространения вредоносного ПО с оплатой за каждую установку, который маскирует малварь под кряки, генераторы ключей и моды для игр. Фактически, злоумышленники предоставляют операторам PrivateLoader образец малвари, которую хотят распространять, рассказывают, каковы критерии таргетинга и производят оплату. После чего PrivateLoader задействует свою сеть фейковых и взломанных сайтов для распространения полученного вредоноса.

Этот сервис для хакеров был обнаружен еще весной 2022 года специалистами Intel471. Интересно, что до недавнего времени PrivateLoader занимался распространением только популярных инфосилеров RedLine и Raccoon (за редкими исключениями). Теперь, когда его арсенал пополнил RisePro, специалисты Sekoia отмечают, что новый инфостилер обладает возможностями загрузчика, а его код во многом совпадает с кодом самого PrivateLoader. Сходства были замечены в технике обфускации строк, обфускации HTTP-сообщений, а также в настройке HTTP и портов.

В итоге исследователи предполагают, что RisePro могли разработать те же люди, которые стоят за PrivateLoader. Другая теория гласит, что RisePro — это новый виток развития самого PrivateLoader или «детище» бывшего разработчика тоже же хак-группы, который теперь продвигает собственный PPI-сервис.

Источник: xakep