El servicio de descarga de malware de pago por instalación (PPI) conocido como cargador privado se está utilizando para distribuir un malware de robo de información previamente documentado denominado RisePro.
Flashpoint detectó al ladrón recién identificado el 13 de diciembre de 2022, luego de descubrir «varios conjuntos de registros» extraídos usando el malware en un mercado ilícito de ciberdelincuencia llamado Russian Market.
Se dice que RisePro, un malware basado en C++, comparte similitudes con otro malware de robo de información conocido como ladrón de Vidar, en sí mismo una bifurcación de un ladrón con nombre en código Arkei que surgió en 2018.
«La aparición del ladrón como carga útil para un servicio de pago por instalación puede indicar la confianza de un actor de amenazas en las habilidades del ladrón», dijo la compañía de inteligencia de amenazas. anotado en un artículo la semana pasada.
La empresa de ciberseguridad SEKOIA, que publicado su propio análisis de RisePro, identificó además superposiciones parciales de código fuente con PrivateLoader. Esto abarca el mecanismo de codificación de cadenas, el método HTTP y la configuración del puerto, y el método de ofuscación de mensajes HTTP.
PrivateLoader, como su nombre lo indica, es un servicio de descarga que permite a sus suscriptores entregar cargas útiles maliciosas a los hosts de destino.
Se ha utilizado en el pasado para entregar Vidar Stealer, RedLine Stealer, Amadey, DanaBot y NetDooka, entre otros, mientras se hace pasar por software pirateado alojado en sitios de señuelo o portales de WordPress comprometidos que aparecen de manera destacada en los resultados de búsqueda.
RisePro no se diferencia de otros ladrones en que es capaz de robar una amplia gama de datos de hasta 36 navegadores web, incluidas cookies, contraseñas, tarjetas de crédito, billeteras criptográficas, así como recopilar archivos de interés y cargar más cargas útiles.
Se ofrece a la venta en Telegram, y el desarrollador del malware también pone a disposición un canal de Telegram que permite a los delincuentes interactuar con los sistemas infectados al proporcionar una identificación de bot creada por el ladrón y enviada a un servidor remoto después de una violación exitosa.
También forma parte de la infraestructura del malware un panel de administración alojado en un dominio llamado my-rise.[.]cc que permite el acceso a registros de datos robados, pero solo después de iniciar sesión en una cuenta con un conjunto válido de credenciales.
Actualmente no está claro si RisePro está creado por el mismo conjunto de actores de amenazas detrás de PrivateLoader, y si está incluido exclusivamente junto con el servicio PPI.
«PrivateLoader todavía está activo y viene con un conjunto de nuevas capacidades», dijo SEKOIA. «Las similitudes entre el ladrón y PrivateLoader no se pueden ignorar y brindan información adicional sobre la expansión del actor de amenazas».