Forskare vid Flashpoint och Sekoia har upptäckt en ny skadlig kod vid namn RisePro, som kan stjäla olika informationselement från ett äventyrat system.
Det sprids via PrivateLoader – en plattform för distribution av skadlig programvara som betalas per installation – som forskarna har kopplat RisePro till. De noterade också att hotaktörerna redan har börjat sälja tusentals RisePro-loggar i ryska forum.
RisePro Data Stealer Analys
Som upptäckt av Flampunkt och Sekoia cybersäkerhetsföretag, en ny skadlig programvara som stjäl data RisePro är i det vilda – sprids genom PrivateLoader nätverk.
PrivateLoader är en plattform för distribution av skadlig programvara som sprider hotaktörers skadlig programvara på betalning per installation. Dess nätverk består av webbplatser som serverar falsk, knäckt programvara och piratkopierat innehåll.
Dess plattform används för att sprida RisePro – som forskarna noterade kan stjäla offrens kreditkort, lösenord och kryptoplånböcker från de infekterade enheterna. Även om de tidigare var odokumenterade, har Sekoia-forskare kopplat RisePro malware till PrivateLoader, baserat på omfattande kodlikheter.
När de undersöker vidare för att veta mer, är ett antagande att PrivateLoader-tillverkarna också har utvecklat RisePro, eller så är det en direkt utveckling av PrivateLoader.
Hur som helst, de noterade att RisePro-aktörer säljer redan tusentals RisePro-loggar (som innehåller data stulen från infekterade enheter) på ryska mörka webbmarknader.
Skrivet i C++, RisePro finns att köpa via Telegram, där köpare också kan interagera med utvecklaren och de infekterade värdarna! RisePro hämtar sin skadliga programvara från C2-serverns POST-förfrågningar och är baserad på Vidars lösenordsstöldande skadlig programvara, eftersom den använder samma system med inbäddade DLL-beroenden – säger Flashpoint-forskare.
Den börjar sin verksamhet genom att skanna registernycklarna till ett intrång i ett system, skriver stulen data till en textfil, tar en skärmdump, samlar allt i ett ZIP-arkiv och skickar det till angriparens server. Det sägs till och med att skanna filsystemmappar för att hitta vissa dataelement som kvitton som innehåller kreditkortsinformation.
