Инфостилер RisePro распространяется через «пиратские» сайты - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
 Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
 Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
 «Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
 Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
 Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
 В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
 Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
 Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
 Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Инфостилер RisePro распространяется через «пиратские» сайты - «Новости»

✔Инфостилер RisePro распространяется через «пиратские» сайты - «Новости»

27 декабря 2022 861 Новости / Сайтостроение / Заработок / Текст / Изображения / Видео уроки / Добавления стилей / Вёрстка 0

Эксперты компаний Flashpoint и Sekoia обнаружили новую малварь для кражи данных RisePro, которая распространяется через сайты с фальшивыми кряками. Эти сайты созданы и управляются с помощью pay-per-install (PPI) сервиса для распространения вредоносов PrivateLoader.


Обе компании пишут, что RisePro — это новая угроза, ориентированная на кражу данных банковских карт, паролей и данных криптовалютных кошельков с зараженных устройств. Вредонос распространяется под видом генераторов ключей и кряков для различного софта, а также модов для игр.



Загрузка на вредоносном сайте

Flashpoint сообщает, что операторы малвари уже начали продавать тысячи логов RisePro (данные, собранные с зараженных устройств) на русскоязычных маркетплейсах в даркнете.


Аналитики Sekoia говорят, что обнаружили значительное сходство между кодом PrivateLoader и RisePro. Они полагают, что операторы платформы для распространения вредоносных программ запустили собственный инфостилер (для себя, либо в качестве нового сервиса). Сообщается, что в настоящее время RisePro доступен для покупки через Telegram.


RisePro написан на C++ и, вероятно, построен на исходном коде другого инфостилера — Vidar, поскольку использует ту же систему зависимостей DLL.





После заражения малварь сканирует скомпрометированную систему, тщательно изучает ключи реестра и сохраняет найденные данные в текстовый файл, делает снимок экрана. В итоге вредонос упаковывает все собранное в ZIP-архив, а затем отправляет архив на сервер злоумышленников.


RisePro пытается украсть широкий спектр данных из приложений, браузеров, криптовалютных кошельков и расширений для браузеров:



  • Браузеры: Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon, Atom.

  • Расширения для браузеров: Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet.

  • ПО: Discord, battle.net, Authy Desktop.

  • Криптовалютные активы: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin, Reddcoin.


Кроме того, RisePro может сканировать папки файловой системы в поисках интересных данных, например, квитанций, содержащих информацию о банковской карте.


Исследователи напоминают, что упомянутый выше PrivateLoader представляет собой сервис для распространения вредоносного ПО с оплатой за каждую установку, который маскирует малварь под кряки, генераторы ключей и моды для игр. Фактически, злоумышленники предоставляют операторам PrivateLoader образец малвари, которую хотят распространять, рассказывают, каковы критерии таргетинга и производят оплату. После чего PrivateLoader задействует свою сеть фейковых и взломанных сайтов для распространения полученного вредоноса.


Этот сервис для хакеров был обнаружен еще весной 2022 года специалистами Intel471. Интересно, что до недавнего времени PrivateLoader занимался распространением только популярных инфосилеров RedLine и Raccoon (за редкими исключениями). Теперь, когда его арсенал пополнил  RisePro, специалисты Sekoia отмечают, что новый инфостилер обладает возможностями загрузчика, а его код во многом совпадает с кодом самого PrivateLoader. Сходства были замечены в технике обфускации строк, обфускации HTTP-сообщений, а также в настройке HTTP и портов.





В итоге исследователи предполагают, что RisePro могли разработать те же люди, которые стоят за PrivateLoader. Другая теория гласит, что RisePro — это новый виток развития самого PrivateLoader или «детище» бывшего разработчика тоже же хак-группы, который теперь продвигает собственный PPI-сервис.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты компаний Flashpoint и Sekoia обнаружили новую малварь для кражи данных RisePro, которая распространяется через сайты с фальшивыми кряками. Эти сайты созданы и управляются с помощью pay-per-install (PPI) сервиса для распространения вредоносов PrivateLoader. Обе компании пишут, что RisePro — это новая угроза, ориентированная на кражу данных банковских карт, паролей и данных криптовалютных кошельков с зараженных устройств. Вредонос распространяется под видом генераторов ключей и кряков для различного софта, а также модов для игр. Загрузка на вредоносном сайте Flashpoint сообщает, что операторы малвари уже начали продавать тысячи логов RisePro (данные, собранные с зараженных устройств) на русскоязычных маркетплейсах в даркнете. Аналитики Sekoia говорят, что обнаружили значительное сходство между кодом PrivateLoader и RisePro. Они полагают, что операторы платформы для распространения вредоносных программ запустили собственный инфостилер (для себя, либо в качестве нового сервиса). Сообщается, что в настоящее время RisePro доступен для покупки через Telegram. RisePro написан на C и, вероятно, построен на исходном коде другого инфостилера — Vidar, поскольку использует ту же систему зависимостей DLL. После заражения малварь сканирует скомпрометированную систему, тщательно изучает ключи реестра и сохраняет найденные данные в текстовый файл, делает снимок экрана. В итоге вредонос упаковывает все собранное в ZIP-архив, а затем отправляет архив на сервер злоумышленников. RisePro пытается украсть широкий спектр данных из приложений, браузеров, криптовалютных кошельков и расширений для браузеров: Браузеры: Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon, Atom. Расширения для браузеров: Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet. ПО: Discord, battle.net, Authy Desktop. Криптовалютные активы: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin, Reddcoin. Кроме того, RisePro может сканировать папки файловой системы в поисках интересных данных, например, квитанций, содержащих информацию о банковской карте. Исследователи напоминают, что упомянутый выше PrivateLoader представляет собой сервис для распространения вредоносного ПО с оплатой за каждую установку, который маскирует малварь под кряки, генераторы ключей и моды для игр. Фактически, злоумышленники предоставляют операторам PrivateLoader образец малвари, которую хотят распространять, рассказывают, каковы критерии таргетинга и производят оплату. После чего PrivateLoader задействует свою сеть фейковых и взломанных сайтов для распространения полученного вредоноса. Этот сервис для хакеров был обнаружен еще весной 2022 года специалистами Intel471. Интересно, что до недавнего времени PrivateLoader занимался распространением только популярных инфосилеров RedLine и Raccoon (за редкими исключениями). Теперь, когда его арсенал пополнил RisePro, специалисты Sekoia отмечают, что новый инфостилер обладает возможностями загрузчика, а его код во многом совпадает с кодом самого PrivateLoader. Сходства были замечены в технике обфускации строк, обфускации HTTP-сообщений, а также в настройке HTTP и портов. В итоге исследователи предполагают, что RisePro могли разработать те же люди, которые стоят за PrivateLoader. Другая теория гласит, что RisePro — это новый виток развития самого PrivateLoader или «детище» бывшего разработчика тоже же хак-группы, который теперь продвигает собственный PPI-сервис.
CSS
запостил(а)
Moore
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: