注意！新惡意軟件通過假冒的破解網站竊取你的信息

一種名為“RisePro”的新型信息竊取惡意軟件正在通過由 PrivateLoader 按安裝付費 (PPI) 惡意軟件分發服務運營的虛假破解站點進行分發。

RisePro 旨在幫助攻擊者從受感染的設備中竊取受害者的信用卡、密碼和加密錢包。

本周Flashpoint 和 Sekoia的分析師發現了該惡意軟件 ，兩家網絡安全公司都確認 RisePro 是一個以前未記錄的信息竊取程序，現在通過假軟件破解和密鑰生成器進行分發。

Flashpoint 報告稱，威脅行為者已經開始在俄羅斯暗網市場上出售數以千計的 RisePro 日志（從受感染設備竊取的數據包）。

此外，Sekoia 發現 PrivateLoader 和 RisePro 之間存在廣泛的代碼相似性，這表明惡意軟件分發平臺現在可能正在傳播自己的信息竊取程序，無論是為自身還是作為服務。

目前，RisePro 可以通過 Telegram 購買，用戶還可以與開發者和受感染的主機（Telegram bot）進行交互。

RisePro C2 面板

RisePro 是一種 C++ 惡意軟件，根據 Flashpoint 的說法，它可能基于 Vidar 密碼竊取惡意軟件，因為它使用相同的嵌入式 DLL 依賴項系統。

惡意軟件工作目錄中的 DLL

Sekoia 進一步解釋說，RisePro 的一些樣本嵌入了 DLL，而在其他樣本中，惡意軟件通過 POST 請求從 C2 服務器獲取它們。

信息竊取者首先通過仔細檢查注冊表項對受感染的系統進行指紋識別，將竊取的數據寫入文本文件，截取屏幕截圖，將所有內容打包到 ZIP 存檔中，然后將文件發送到攻擊者的服務器。

RisePro 試圖從應用程序、瀏覽器、加密錢包和瀏覽器擴展中竊取各種數據，如下所列：

網絡瀏覽器：Google Chrome、Firefox、Maxthon3、K-Melon、Sputnik、Nichrome、Uran、Chromodo、Netbox、Comodo、Torch、Orbitum、QIP Surf、Coowon、CatalinaGroup Citrio、Chromium、Elements、Vivaldi、Chedot、CentBrowser、7start、 ChomePlus、Iridium、Amigo、Opera、Brave、CryptoTab、Yandex、IceDragon、BlackHaw、Pale Moon、Atom。

瀏覽器擴展：Authenticator、MetaMask、Jaxx Liberty Extension、iWallet、BitAppWallet、SaturnWallet、GuildWallet、MewCx、Wombat、CloverWallet、NeoLine、RoninWallet、LiqualityWallet、EQUALWallet、Guarda、Coinbase、MathWallet、NiftyWallet、Yoroi、BinanceChainWallet、TronLink、Phantom、Oxygen , PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet。

軟件：Discord、battle.net、Authy Desktop。

加密貨幣資產：Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin,Litecoin，Reddcoin。

除了上述之外，RisePro 還可以掃描文件系統文件夾以查找有趣的數據，例如包含信用卡信息的收據。

PrivateLoader 是一種按安裝付費的惡意軟件分發服務，偽裝成軟件破解、密鑰生成器和游戲修改。

威脅行為者向 PrivateLoader 團隊提供他們希望分發的惡意軟件樣本、目標標準和付款，然后該團隊使用他們的虛假和被黑網站網絡來分發惡意軟件。

該服務于 2022 年 2 月首次被Intel471發現，而在 2022 年 5 月，趨勢科技觀察到 PrivateLoader 推出了一種名為“ NetDooka ”的新遠程訪問木馬 (RAT)。

直到最近，PrivateLoader 幾乎只分發 RedLine 或 Raccoon，這兩種流行的信息竊取工具。

隨著 RisePro 的加入，Sekoia 現在報告在新的惡意軟件中發現了加載器功能，同時強調其代碼的這一部分與 PrivateLoader 的代碼有廣泛的重疊。

相似之處包括字符串混淆技術、HTTP 消息混淆以及 HTTP 和端口設置。

HTTP 端口設置中的代碼相似度為 30%

一種可能的情況是 PrivateLoader 背后的同一個人開發了 RisePro。

另一種假設是，RisePro 是 PrivateLoader 的演變，或者是現在推廣類似 PPI 服務的流氓前開發人員的創建。

根據收集到的證據，還無法確定這兩個項目之間的確切聯系。