称为PrivateLoader的按安装付费 (PPI) 恶意软件下载器服务被用于分发先前记录的名为RisePro的信息窃取恶意软件。
Flashpoint 于 2022 年 12 月 13 日发现了这个新发现的窃取者,此前它发现了在名为俄罗斯市场的非法网络犯罪市场上使用该恶意软件泄露的“几组日志”。
RisePro 是一种基于 C++ 的恶意软件,据说与另一种信息窃取恶意软件 Vidar stealer 有相似之处,后者本身是2018 年出现的代号为Arkei的窃取程序的分支。
“窃取者作为按安装付费服务的有效载荷出现可能表明威胁行为者对窃取者能力的信心,”威胁情报公司在上周的一篇文章中指出。
网络安全公司 SEKOIA发布了自己对RisePro的分析,进一步发现部分源代码与 PrivateLoader 重叠。这包括字符串加扰机制、HTTP 方法和端口设置以及 HTTP 消息混淆方法。
顾名思义,PrivateLoader 是一种下载服务,它使订阅者能够向目标主机传送恶意负载。
它过去曾被用于提供 Vidar Stealer、RedLine Stealer、Amadey、DanaBot 和NetDooka等,同时伪装成托管在诱饵网站上的盗版软件或出现在搜索结果显着位置的受损 WordPress 门户网站。
RisePro 与其他窃取器没有什么不同,因为它能够从多达 36 个网络浏览器中窃取范围广泛的数据,包括 cookie、密码、信用卡、加密钱包,以及收集感兴趣的文件和加载更多有效载荷。
它在 Telegram 上出售,恶意软件的开发者还提供了一个 Telegram 频道,使犯罪分子能够通过提供由窃取者创建的机器人 ID 与受感染的系统进行交互,并在成功入侵后发送到远程服务器。
恶意软件基础设施的一部分是托管在名为 my-rise[.]cc 的域中的管理面板,该面板允许访问被盗数据日志,但只有在使用一组有效凭据登录帐户后才能访问。
目前尚不清楚 RisePro 是否由 PrivateLoader 背后的同一组威胁参与者编写,以及它是否专门与 PPI 服务捆绑在一起。
SEKOIA 表示:“PrivateLoader 仍然活跃,并具有一系列新功能。” “窃取者和 PrivateLoader 之间的相似性不容忽视,并提供了对威胁行为者扩展的额外洞察力。”
