Actualidad

RisePro Malware que roba contraseñas, información de tarjetas de crédito y ataques Carteras de criptomonedas

Estás leyendo la publicación: RisePro Malware que roba contraseñas, información de tarjetas de crédito y ataques Carteras de criptomonedas

Se ha encontrado un nuevo malware que roba información llamado RisePro y se está propagando a través de sitios web falsos pirateados operados por PrivateLoader (Pago por instalación), un servicio de distribución de malware.

Los expertos en Punto de inflamabilidad & Sekoia descubrió el malware RisePro y, por lo tanto, confirmó que este malware RisePro es un ladrón de información no registrada previamente que ahora se está propagando a través de cracks de software falsos y generadores de claves.

El malware RisePro ha sido creado para ayudar a los actores de amenazas a robar las contraseñas, la información de las tarjetas de crédito y las billeteras de criptomonedas de las víctimas.

Flashpoint mencionó que los atacantes de amenazas ya han comenzado a vender miles de registros de RisePro (datos robados de los dispositivos comprometidos) en los mercados rusos de la web oscura.

Además de esto, los analistas de Sekoia encontraron importantes similitudes en el código entre PrivateLoader, lo que sugiere que la plataforma de distribución de malware está difundiendo su propio ladrón de información o lo está vendiendo como un servicio.

A partir de ahora, el malware que roba información se vende en Telegram, donde los usuarios interactúan con el desarrollador y el BOT de Telegram comprometido.

El panel del servidor RisePro Malware C2El panel del servidor RisePro Malware C2

RisePro es un malware C++ que, según Flashpoint, podría basarse en el malware de robo de contraseñas Vidar, ya que utiliza el mismo sistema de dependencias DLL habilitadas.

RisePro Malware que roba contraseñas, información de tarjetas de crédito y carteras de criptomonedas 1RisePro Malware que roba contraseñas, información de tarjetas de crédito y carteras de criptomonedas 1DLL en el directorio de malware

Además, Sekoia dice que algunas muestras de RisePro habilitaron las DLL, mientras que, en otras, el malware las recopiló del servidor C2 mediante solicitudes POST.

🔥 Recomendado:  Amazon tiene 1,28 GB de información personal sobre mí: esto es lo que contiene

Bueno, el malware primero separa el sistema infectado inspeccionando las claves de registro, escribe los datos robados en el archivo de prueba, toma la captura de pantalla, la agrupa en un archivo ZIP y luego envía el archivo ZIP al servidor del atacante.

El malware RisePro intenta robar diferentes tipos de datos de aplicaciones, carteras criptográficas y extensiones de navegador, como se detalla a continuación.

Software– Discord, battle.net, Authy Desktop.

Carteras de criptomonedas – Bitcoin, dogecoin, DashCore, Franko, infinitacoin, Ixcoin, Megacoin, Minicoin, Namecoin, Primecoin, Terracoin, YAcoin, Zcash, Reddcoin, digitalcoin, devcoin.

navegadores web – Google Chrome, Firefox, MetaMask, Torch, Comodo, Chromium Elements, 7start, Netbox, CentBrowser, Orbitum, Amigo, Opera, Brave, Vivaldi y más.

Extensiones del navegador – Extensión de libertad Jxx, MetaMusk, iWallet, SaturnWallet, GuildWallet, MewCx, Wombat, NiftyWallet, Neoline, RoninWallet, BainanceChainWallet, Yoroi, EQUALWallet, BoltX y más.

Además, el malware ladrón de información también puede escanear las carpetas del sistema de archivos en busca de datos convincentes, como recibos que contengan información de tarjetas de crédito.

Leer: El padrino, malware para Android que roba datos de sitios web bancarios y de intercambios de criptomonedas

Como se mencionó, el malware estaba siendo propagado por PrivateLoader (un pago por instalación), que se disfrazaba como un servicio para software crackeado, generador de claves y modificaciones de juegos.

Los actores de amenazas dan la muestra de malware que esperan difundir, la base de orientación y el pago al equipo de PrivateLoader, que utiliza su sitio web para falsificar y piratear sitios web para difundir malware.

El servicio de distribución de malware PrivateLoader fue visto por primera vez por Intel471 en febrero de 2022 y luego TrendMicro detectó PrivateLoader impulsando un nuevo troyano remoto, llamado netdooka.

🔥 Recomendado:  Revisión de KDSPY: ¿Puede esta herramienta hacer crecer su negocio de autoedición de Amazon?

Además, el servicio de distribución de información es casi exclusivamente Rocoin, Redline (famoso Steeler de información).

Sekoia, la empresa de seguridad, dijo que encontró capacidades de carga en el nuevo malware, destacando que esta parte se superpone ampliamente con PrivateLoader.

Similitudes del código de puerto HTTP entre RisePro y PrivateLoaderSimilitudes del código de puerto HTTP entre RisePro y PrivateLoaderSimilitudes del código de puerto HTTP entre RisePro y PrivateLoader

Las similitudes fueron la configuración de HTTP y puerto y el método de ofuscación de cadenas.

Es posible que el servicio de propagación de malware haya desarrollado RisePro o la evolución de PrivateLoader.

Leer: Los atacantes aprovechan una falla en el complemento premium de tarjeta de regalo WooCommerce de YTTH

Otros temas interesantes: