Un malware voleur d’informations infecte les pirates de logiciels via de faux sites de cracks

Flashpoint rapporte que les acteurs de la menace ont déjà commencé à vendre des milliers de journaux RisePro (paquets de données volées sur des appareils infectés) sur les marchés russes du dark web.

De plus, Sekoia a découvert de nombreuses similitudes de code entre PrivateLoader et RisePro, indiquant que la plate-forme de distribution de logiciels malveillants diffuse probablement maintenant son propre voleur d’informations, soit pour elle-même, soit en tant que service.

Actuellement, RisePro est disponible à l’achat via Telegram, où les utilisateurs peuvent également interagir avec le développeur et les hôtes infectés (bot Telegram).

Détails et capacités de RisePro

RisePro est un logiciel malveillant C++ qui, selon Flashpoint, pourrait être basé sur le logiciel malveillant de vol de mot de passe Vidar, car il utilise le même système de dépendances DLL intégrées.

Sekoia explique en outre que certains échantillons de RisePro intègrent les DLL, tandis que dans d’autres, le malware les récupère depuis le serveur C2 via des requêtes POST.

Le voleur d’informations prend d’abord les empreintes digitales du système compromis en examinant les clés de registre, écrit les données volées dans un fichier texte, prend une capture d’écran, regroupe le tout dans une archive ZIP, puis envoie le fichier au serveur de l’attaquant.

RisePro tente de voler une grande variété de données à partir d’applications, de navigateurs, de portefeuilles cryptographiques et d’extensions de navigateur, comme indiqué ci-dessous :

• Navigateurs Web : Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon, Atom.
• Extensions de navigateur : Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen , PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet.
• Logiciels : Discord, battle.net, Authy Desktop.
• Actifs en cryptomonnaies : Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin, Reddcoin.

En plus de ce qui précède, RisePro peut analyser les dossiers du système de fichiers à la recherche de données intéressantes telles que des reçus contenant des informations de carte de crédit.

Lien vers PrivateLoader

PrivateLoader est un service de distribution de logiciels malveillants payant par installation déguisé en cracks logiciels, générateurs de clés et modifications de jeux.

Les auteurs de menaces fournissent l’échantillon de logiciels malveillants qu’ils souhaitent distribuer, les critères de ciblage et le paiement à l’équipe PrivateLoader, qui utilise ensuite son réseau de sites Web contrefaits et piratés pour distribuer des logiciels malveillants.

Le service a été repéré pour la première fois par Intel471 en février 2022, tandis qu’en mai 2022, Trend Micro a observé PrivateLoader pousser un nouveau cheval de Troie d’accès à distance (RAT) nommé « NetDooka ».

Jusqu’à récemment, PrivateLoader distribuait presque exclusivement RedLine ou Raccoon, deux voleurs d’informations populaires.

Avec l’ajout de RisePro, Sekoia rapporte maintenant avoir trouvé des capacités de chargeur dans le nouveau malware, soulignant également que cette partie de son code a de nombreux chevauchements avec celle de PrivateLoader.

Les similitudes incluent la technique d’obscurcissement des chaînes, l’obscurcissement des messages HTTP et la configuration HTTP et du port.

Un scénario probable est que les mêmes personnes derrière PrivateLoader ont développé RisePro.

Une autre hypothèse est que RisePro est l’évolution de PrivateLoader ou la création d’un ancien développeur voyou qui promeut maintenant un service PPI similaire.

Sur la base des preuves recueillies, Sekoia n’a pas pu déterminer le lien exact entre les deux projets.