El servicio de descarga de malware de pago por instalación (PPI) conocido como PrivateLoader se está utilizando para distribuir un malware de robo de información previamente documentado denominado RisePro.
Flashpoint detectó al ladrón recién identificado el 13 de diciembre de 2022, después de descubrir “varios conjuntos de registros” exfiltrados utilizando el malware en un mercado ilícito de delitos cibernéticos llamado Russian Market.
Se dice que RisePro, un malware basado en C ++, comparte similitudes con otro malware de robo de información conocido como ladrón de Vidar, en sí mismo una bifurcación de un ladrón con nombre en código Arkei que surgió en 2018.
“La aparición del ladrón como una carga útil para un servicio de pago por instalación puede indicar la confianza de un actor de amenazas en las habilidades del ladrón”, señaló la compañía de inteligencia de amenazas en un artículo la semana pasada.
La firma de ciberseguridad SEKOIA, que lanzó su propio análisis de RisePro, identificó además superposiciones parciales de código fuente con PrivateLoader. Esto abarca el mecanismo de codificación de cadenas, el método HTTP y la configuración del puerto, y el método de ofuscación de mensajes HTTP.
PrivateLoader, como su nombre lo indica, es un servicio de descarga que permite a sus suscriptores entregar cargas maliciosas a los hosts de destino.
Se ha utilizado en el pasado para entregar Vidar Stealer, RedLine Stealer, Amadey, DanaBot y NetDooka, entre otros, mientras se hace pasar por software pirateado alojado en sitios señuelo o portales de WordPress comprometidos que aparecen prominentemente en los resultados de búsqueda.
RisePro no es diferente de otros ladrones en que es capaz de robar una amplia gama de datos de hasta 36 navegadores web, incluidas cookies, contraseñas, tarjetas de crédito, billeteras criptográficas, así como recopilar archivos de interés y cargar más cargas útiles.
Se ofrece a la venta en Telegram, y el desarrollador del malware también pone a disposición un canal de Telegram que permite a los actores criminales interactuar con los sistemas infectados al proporcionar una identificación de bot creada por el ladrón y enviada a un servidor remoto después de una violación exitosa.
También forma parte de la infraestructura del malware un panel de administración alojado en un dominio llamado my-rise[.] CC que permite el acceso a registros de datos robados, pero solo después de iniciar sesión en una cuenta con un conjunto válido de credenciales.
Actualmente no está claro si RisePro está creado por el mismo conjunto de actores de amenazas detrás de PrivateLoader, y si está incluido exclusivamente junto con el servicio PPI.
“PrivateLoader todavía está activo y viene con un conjunto de nuevas capacidades”, dijo SEKOIA. “Las similitudes entre el ladrón y PrivateLoader no se pueden ignorar y proporcionan información adicional sobre la expansión del actor de amenazas”.
