|
Множество браузеров, расширений и криптокошельков – RisePro сметает всё на своем пути. https://www.securitylab.ru/upload/ib...30sqhi2ppp.png Новый инфостилер RisePro распространяется через поддельные сайты, управляемые PPI-службой (pay-per-install) PrivateLoader . RisePro крадёт кредитные карты, пароли и криптокошельки жертв. Вредоносная программа была обнаружена аналитиками Flashpoint и Sekoia , причем обе компании подтвердили, что RisePro является ранее незадокументированным средством для кражи информации, которое теперь распространяется через поддельные взломщики и генераторы ключей. Flashpoint сообщает, что злоумышленники уже начали продавать тысячи логов RisePro на российских даркнет-рынках. В настоящее время RisePro доступен для покупки через Telegram, где пользователи также могут взаимодействовать с разработчиком и зараженными хостами. https://www.securitylab.ru/upload/im...t-img(998).png Панель управления RisePro RisePro — это вредоносное ПО на основе C++, которое, согласно Flashpoint, может быть основано на вредоносном ПО для кражи паролей Vidar, поскольку оно использует ту же систему встроенных зависимостей DLL. По данным Secoia, некоторые образцы RisePro встраивают DLL-библиотеки, а другие вредоносные программы извлекают их с C&C-сервера с помощью POST-запросов. Похититель информации сначала сканирует скомпрометированную систему, тщательно изучая ключи реестра, записывает украденные данные в текстовый файл, делает снимок экрана, упаковывает все в ZIP-архив, а затем отправляет файл на сервер злоумышленника. RisePro пытается украсть широкий спектр данных из различных приложений, браузеров, криптокошельков и расширений браузера: учетные данные, криптовалюту, персональные данные и т.д. Также RisePro может сканировать папки файловой системы на наличие конфиденциальных данных, например, квитанций с информацией о кредитной карте. https://www.securitylab.ru/upload/im...t-img(997).png Цели RisePro Кроме того, Sekoia обнаружила значительное сходство кода между PrivateLoader и RisePro, что указывает на то, что PrivateLoader, возможно, теперь распространяет свой собственный инфостилер либо для себя, либо в качестве услуги для киберпреступников. Сходства RisePro и PrivateLoader включают технику запутывания строк, запутывание HTTP-сообщений и настройку HTTP и порта. Эксперты предполагают, что RisePro и PrivateLoader разработали одни и те же люди. Основываясь на собранных доказательствах, Sekoia не смогла установить точную связь между двумя проектами. PrivateLoader — сервис распространения вредоносного ПО с оплатой за установку, замаскированный под программные кряки, генераторы ключей и модификации игр. PrivateLoader функционирует как загрузчик на основе C++ для загрузки и развертывания дополнительных вредоносных полезных нагрузок на зараженных хостах Windows. В основном он распространяется через SEO-оптимизированные веб-сайты, на которых содержится взломанное ПО. |
| All times are GMT. The time now is 05:46 AM. |
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.