Pirátství | Malware | Viry

Nový malware RisePro cílí na softwarové piráty. Krade čísla platebních karet, krypto peněženky a hesla

Bezpečnostní analytici ze společností Flashpoint a Sekoia v uplynulém týdnu varovali před novým malwarem RisePro. Dle jejich poznatku se nejčastěji šíří přes stránky poskytující hesla a generátory licenčních klíčů a jeho cílem je krádež čísel platebních karet, krypto peněženek a hesel.

Flashpoint zjistil, že útočníci prodávají balíčky dat ukradené z infikovaných zařízení na ruských darknetových tržištích. V současné době je RisePro nabízen jako služba prostřednictvím Telegramu, přes který mohou zájemci komunikovat s vývojáři a následně i infikovanými hostiteli.

Co víme o malwaru RisePro

RisePro je malware napsaný v programovacím jazyce C++. Podle odborníků může vycházet ze staršího malwaru Vidar, zaměřujícího se na krádež hesel, protože používá stejný systém dynamicky připojovaných knihoven (DLL). Některé vzorky přímo obsahují soubory DLL, zatímco v jiných verzích je malware získává z řídicího serveru.

Aplikace nejprve prozkoumá klíče registru, zapíše ukradená data do textového souboru, pořídí snímek obrazovky, vše zabalí do archivu ZIP a tento soubor odešle na server útočníka. Pokouší se při tom ukrást širokou škálu dat z aplikací, prohlížečů, krypto peněženek a rozšíření prohlížečů.

Konkrétně vykrádá nejrůznější údaje z následujících aplikací:

  • Webové prohlížeče: Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon a Atom.
  • Rozšíření prohlížečů: Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet a Maiar DeFi Wallet.
  • Aplikace: Discord, battle.net a Authy Desktop.
  • Kryptoměnová aktiva: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin a Reddcoin.

Kromě výše uvedeného umí RisePro prohledávat složky souborového systému a hledat v nich zajímavá data, jako jsou například účtenky obsahující informace o platebních kartách.

Odkaz na PrivateLoader

PrivateLoader je služba pro distribuci malwaru, která maskuje škodlivé aplikace jako cracky k nejrůznějšímu softwaru, generátory licenčních klíčů a modifikace her. Jedná se o placenou službu, kterou lze cílit dle požadavků zákazníka. K distribuci je využívána síť falešných a hacknutých webových stránek.

Služba byla poprvé zaznamenána bezpečnostní společností Intel471 v únoru 2022. V květnu 2022 antivirová firma Trend Micro zaznamenala, že PrivateLoader nasazuje nového trojského koně pro vzdálený přístup (RAT) s názvem NetDooka.

Až donedávna PrivateLoader distribuoval téměř výhradně aplikace pro krádež informací označované jako RedLine nebo Raccoon. Přidání malwaru RisePro přináší další rozšíření schopností a šíře kradených informací. Jedním z pravděpodobných scénářů je, že RisePro vyvinuli stejní lidé jako PrivateLoader, nicméně určit přesnou souvislost mezi oběma projekty se zatím nepodařilo.

Diskuze (9) Další článek: Co je polární vír a proč kvůli němu v Americe zažili mrazivé Vánoce s teplotami hluboko pod bodem mrazu?

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,