窃取信息的新恶意软件通过假冒的破解 站感染使用者

络研究院

一种名为“RisePro”的新型信息窃取恶意软件正在通过由 PrivateLoader 按安装付费 (PPI) 恶意软件分发服务运营的虚假破解站点进行分发。

RisePro 旨在帮助攻击者从受感染的设备中窃取受害者的信用卡、密码和加密钱包。

本周Flashpoint 和 Sekoia的分析师发现了该恶意软件  ，两家 络安全公司都确认 RisePro 是一个以前未记录的信息窃取程序，现在通过假软件破解和密钥生成器进行分发。

Flashpoint 告称，威胁行为者已经开始在俄罗斯暗 市场上出售数以千计的 RisePro 日志（从受感染设备窃取的数据包）。

此外，Sekoia 发现 PrivateLoader 和 RisePro 之间存在广泛的代码相似性，这表明恶意软件分发平台现在可能正在传播自己的信息窃取程序，无论是为自身还是作为服务。

目前，RisePro 可以通过 Telegram 购买，用户还可以与开发者和受感染的主机（Telegram bot）进行交互。

RisePro C2 面板

RisePro 是一种 C++ 恶意软件，根据 Flashpoint 的说法，它可能基于 Vidar 密码窃取恶意软件，因为它使用相同的嵌入式 DLL 依赖项系统。

恶意软件工作目录中的 DLL

Sekoia 进一步解释说，RisePro 的一些样本嵌入了 DLL，而在其他样本中，恶意软件通过 POST 请求从 C2 服务器获取它们。

RisePro 试图从应用程序、浏览器、加密钱包和浏览器扩展中窃取各种数据，如下所列：

• 络浏览器：Google Chrome、Firefox、Maxthon3、K-Melon、Sputnik、Nichrome、Uran、Chromodo、Netbox、Comodo、Torch、Orbitum、QIP Surf、Coowon、CatalinaGroup Citrio、Chromium、Elements、Vivaldi、Chedot、CentBrowser、7start、 ChomePlus、Iridium、Amigo、Opera、Brave、CryptoTab、Yandex、IceDragon、BlackHaw、Pale Moon、Atom。

• 浏览器扩展：Authenticator、MetaMask、Jaxx Liberty Extension、iWallet、BitAppWallet、SaturnWallet、GuildWallet、MewCx、Wombat、CloverWallet、NeoLine、RoninWallet、LiqualityWallet、EQUALWallet、Guarda、Coinbase、MathWallet、NiftyWallet、Yoroi、BinanceChainWallet、TronLink、Phantom、Oxygen , PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet。

• 软件：Discord、battle.net、Authy Desktop。

• 加密货币资产：Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin,Litecoin，Reddcoin。

除了上述之外，RisePro 还可以扫描文件系统文件夹以查找有趣的数据，例如包含信用卡信息的收据。

PrivateLoader 是一种按安装付费的恶意软件分发服务，伪装成软件破解、密钥生成器和游戏修改。

威胁行为者向 PrivateLoader 团队提供他们希望分发的恶意软件样本、目标标准和付款，然后该团队使用他们的虚假和被黑 站 络来分发恶意软件。

该服务于 2022 年 2 月首次被Intel471发现，而在 2022 年 5 月，趋势科技观察到 PrivateLoader 推出了一种名为“ NetDooka ”的新远程访问木马 (RAT)。

直到最近，PrivateLoader 几乎只分发 RedLine 或 Raccoon，这两种流行的信息窃取工具。

随着 RisePro 的加入，Sekoia 现在 告在新的恶意软件中发现了加载器功能，同时强调其代码的这一部分与 PrivateLoader 的代码有广泛的重叠。

相似之处包括字符串混淆技术、HTTP 消息混淆以及 HTTP 和端口设置。

HTTP 端口设置中的代码相似度为 30%

一种可能的情况是 PrivateLoader 背后的同一个人开发了 RisePro。

另一种假设是，RisePro 是 PrivateLoader 的演变，或者是现在推广类似 PPI 服务的流氓前开发人员的创建。

根据收集到的证据，还无法确定这两个项目之间的确切联系。