Новый инфостилер заражает устройства через поддельные сайты PrivateLoader

Новый инфостилер RisePro распространяется через поддельные сайты, управляемые PPI-службой (pay-per-install) PrivateLoader . RisePro крадёт кредитные карты, пароли и криптокошельки жертв.

Вредоносная программа была обнаружена аналитиками Flashpoint и Sekoia , причем обе компании подтвердили, что RisePro является ранее незадокументированным средством для кражи информации, которое теперь распространяется через поддельные взломщики и генераторы ключей.

Flashpoint сообщает, что злоумышленники уже начали продавать тысячи логов RisePro на российских даркнет-рынках. В настоящее время RisePro доступен для покупки через Telegram, где пользователи также могут взаимодействовать с разработчиком и зараженными хостами.

Панель управления RisePro

RisePro — это вредоносное ПО на основе C++, которое, согласно Flashpoint, может быть основано на вредоносном ПО для кражи паролей Vidar, поскольку оно использует ту же систему встроенных зависимостей DLL.

По данным Secoia, некоторые образцы RisePro встраивают DLL-библиотеки, а другие вредоносные программы извлекают их с C&C-сервера с помощью POST-запросов.

Похититель информации сначала сканирует скомпрометированную систему, тщательно изучая ключи реестра, записывает украденные данные в текстовый файл, делает снимок экрана, упаковывает все в ZIP-архив, а затем отправляет файл на сервер злоумышленника.

RisePro пытается украсть широкий спектр данных из различных приложений, браузеров, криптокошельков и расширений браузера: учетные данные, криптовалюту, персональные данные и т.д. Также RisePro может сканировать папки файловой системы на наличие конфиденциальных данных, например, квитанций с информацией о кредитной карте.

Цели RisePro

Кроме того, Sekoia обнаружила значительное сходство кода между PrivateLoader и RisePro, что указывает на то, что PrivateLoader, возможно, теперь распространяет свой собственный инфостилер либо для себя, либо в качестве услуги для киберпреступников. Сходства RisePro и PrivateLoader включают технику запутывания строк, запутывание HTTP-сообщений и настройку HTTP и порта. Эксперты предполагают, что RisePro и PrivateLoader разработали одни и те же люди. Основываясь на собранных доказательствах, Sekoia не смогла установить точную связь между двумя проектами.

PrivateLoader — сервис распространения вредоносного ПО с оплатой за установку, замаскированный под программные кряки, генераторы ключей и модификации игр. PrivateLoader функционирует как загрузчик на основе C++ для загрузки и развертывания дополнительных вредоносных полезных нагрузок на зараженных хостах Windows. В основном он распространяется через SEO-оптимизированные веб-сайты, на которых содержится взломанное ПО.