Bezpečnostní analytici ze společností Flashpoint a Sekoia v uplynulém týdnu varovali před novým malwarem RisePro. Dle jejich poznatku se nejčastěji šíří přes stránky poskytující hesla a generátory licenčních klíčů a jeho cílem je krádež čísel platebních karet, krypto peněženek a hesel.
Flashpoint zjistil, že útočníci prodávají balíčky dat ukradené z infikovaných zařízení na ruských darknetových tržištích. V současné době je RisePro nabízen jako služba prostřednictvím Telegramu, přes který mohou zájemci komunikovat s vývojáři a následně i infikovanými hostiteli.
Co víme o malwaru RisePro
RisePro je malware napsaný v programovacím jazyce C++. Podle odborníků může vycházet ze staršího malwaru Vidar, zaměřujícího se na krádež hesel, protože používá stejný systém dynamicky připojovaných knihoven (DLL). Některé vzorky přímo obsahují soubory DLL, zatímco v jiných verzích je malware získává z řídicího serveru.
Aplikace nejprve prozkoumá klíče registru, zapíše ukradená data do textového souboru, pořídí snímek obrazovky, vše zabalí do archivu ZIP a tento soubor odešle na server útočníka. Pokouší se při tom ukrást širokou škálu dat z aplikací, prohlížečů, krypto peněženek a rozšíření prohlížečů.
Konkrétně vykrádá nejrůznější údaje z následujících aplikací:
- Webové prohlížeče: Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon a Atom.
- Rozšíření prohlížečů: Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet a Maiar DeFi Wallet.
- Aplikace: Discord, battle.net a Authy Desktop.
- Kryptoměnová aktiva: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin a Reddcoin.
Kromě výše uvedeného umí RisePro prohledávat složky souborového systému a hledat v nich zajímavá data, jako jsou například účtenky obsahující informace o platebních kartách.
Odkaz na PrivateLoader
PrivateLoader je služba pro distribuci malwaru, která maskuje škodlivé aplikace jako cracky k nejrůznějšímu softwaru, generátory licenčních klíčů a modifikace her. Jedná se o placenou službu, kterou lze cílit dle požadavků zákazníka. K distribuci je využívána síť falešných a hacknutých webových stránek.
Služba byla poprvé zaznamenána bezpečnostní společností Intel471 v únoru 2022. V květnu 2022 antivirová firma Trend Micro zaznamenala, že PrivateLoader nasazuje nového trojského koně pro vzdálený přístup (RAT) s názvem NetDooka.
Až donedávna PrivateLoader distribuoval téměř výhradně aplikace pro krádež informací označované jako RedLine nebo Raccoon. Přidání malwaru RisePro přináší další rozšíření schopností a šíře kradených informací. Jedním z pravděpodobných scénářů je, že RisePro vyvinuli stejní lidé jako PrivateLoader, nicméně určit přesnou souvislost mezi oběma projekty se zatím nepodařilo.