Инфостилер RisePro распространяется через «пиратские» сайты - «Новости» » Интернет технологии
sitename
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
 Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
 На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
 Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
 Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
 Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Инфостилер RisePro распространяется через «пиратские» сайты - «Новости»

✔Инфостилер RisePro распространяется через «пиратские» сайты - «Новости»

27 декабря 2022 824 Новости / Сайтостроение / Заработок / Текст / Изображения / Видео уроки / Добавления стилей / Вёрстка 0

Эксперты компаний Flashpoint и Sekoia обнаружили новую малварь для кражи данных RisePro, которая распространяется через сайты с фальшивыми кряками. Эти сайты созданы и управляются с помощью pay-per-install (PPI) сервиса для распространения вредоносов PrivateLoader.


Обе компании пишут, что RisePro — это новая угроза, ориентированная на кражу данных банковских карт, паролей и данных криптовалютных кошельков с зараженных устройств. Вредонос распространяется под видом генераторов ключей и кряков для различного софта, а также модов для игр.



Загрузка на вредоносном сайте

Flashpoint сообщает, что операторы малвари уже начали продавать тысячи логов RisePro (данные, собранные с зараженных устройств) на русскоязычных маркетплейсах в даркнете.


Аналитики Sekoia говорят, что обнаружили значительное сходство между кодом PrivateLoader и RisePro. Они полагают, что операторы платформы для распространения вредоносных программ запустили собственный инфостилер (для себя, либо в качестве нового сервиса). Сообщается, что в настоящее время RisePro доступен для покупки через Telegram.


RisePro написан на C++ и, вероятно, построен на исходном коде другого инфостилера — Vidar, поскольку использует ту же систему зависимостей DLL.





После заражения малварь сканирует скомпрометированную систему, тщательно изучает ключи реестра и сохраняет найденные данные в текстовый файл, делает снимок экрана. В итоге вредонос упаковывает все собранное в ZIP-архив, а затем отправляет архив на сервер злоумышленников.


RisePro пытается украсть широкий спектр данных из приложений, браузеров, криптовалютных кошельков и расширений для браузеров:



  • Браузеры: Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon, Atom.

  • Расширения для браузеров: Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet.

  • ПО: Discord, battle.net, Authy Desktop.

  • Криптовалютные активы: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin, Reddcoin.


Кроме того, RisePro может сканировать папки файловой системы в поисках интересных данных, например, квитанций, содержащих информацию о банковской карте.


Исследователи напоминают, что упомянутый выше PrivateLoader представляет собой сервис для распространения вредоносного ПО с оплатой за каждую установку, который маскирует малварь под кряки, генераторы ключей и моды для игр. Фактически, злоумышленники предоставляют операторам PrivateLoader образец малвари, которую хотят распространять, рассказывают, каковы критерии таргетинга и производят оплату. После чего PrivateLoader задействует свою сеть фейковых и взломанных сайтов для распространения полученного вредоноса.


Этот сервис для хакеров был обнаружен еще весной 2022 года специалистами Intel471. Интересно, что до недавнего времени PrivateLoader занимался распространением только популярных инфосилеров RedLine и Raccoon (за редкими исключениями). Теперь, когда его арсенал пополнил  RisePro, специалисты Sekoia отмечают, что новый инфостилер обладает возможностями загрузчика, а его код во многом совпадает с кодом самого PrivateLoader. Сходства были замечены в технике обфускации строк, обфускации HTTP-сообщений, а также в настройке HTTP и портов.





В итоге исследователи предполагают, что RisePro могли разработать те же люди, которые стоят за PrivateLoader. Другая теория гласит, что RisePro — это новый виток развития самого PrivateLoader или «детище» бывшего разработчика тоже же хак-группы, который теперь продвигает собственный PPI-сервис.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты компаний Flashpoint и Sekoia обнаружили новую малварь для кражи данных RisePro, которая распространяется через сайты с фальшивыми кряками. Эти сайты созданы и управляются с помощью pay-per-install (PPI) сервиса для распространения вредоносов PrivateLoader. Обе компании пишут, что RisePro — это новая угроза, ориентированная на кражу данных банковских карт, паролей и данных криптовалютных кошельков с зараженных устройств. Вредонос распространяется под видом генераторов ключей и кряков для различного софта, а также модов для игр. Загрузка на вредоносном сайте Flashpoint сообщает, что операторы малвари уже начали продавать тысячи логов RisePro (данные, собранные с зараженных устройств) на русскоязычных маркетплейсах в даркнете. Аналитики Sekoia говорят, что обнаружили значительное сходство между кодом PrivateLoader и RisePro. Они полагают, что операторы платформы для распространения вредоносных программ запустили собственный инфостилер (для себя, либо в качестве нового сервиса). Сообщается, что в настоящее время RisePro доступен для покупки через Telegram. RisePro написан на C и, вероятно, построен на исходном коде другого инфостилера — Vidar, поскольку использует ту же систему зависимостей DLL. После заражения малварь сканирует скомпрометированную систему, тщательно изучает ключи реестра и сохраняет найденные данные в текстовый файл, делает снимок экрана. В итоге вредонос упаковывает все собранное в ZIP-архив, а затем отправляет архив на сервер злоумышленников. RisePro пытается украсть широкий спектр данных из приложений, браузеров, криптовалютных кошельков и расширений для браузеров: Браузеры: Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon, Atom. Расширения для браузеров: Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet. ПО: Discord, battle.net, Authy Desktop. Криптовалютные активы: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin, Reddcoin. Кроме того, RisePro может сканировать папки файловой системы в поисках интересных данных, например, квитанций, содержащих информацию о банковской карте. Исследователи напоминают, что упомянутый выше PrivateLoader представляет собой сервис для распространения вредоносного ПО с оплатой за каждую установку, который маскирует малварь под кряки, генераторы ключей и моды для игр. Фактически, злоумышленники предоставляют операторам PrivateLoader образец малвари, которую хотят распространять, рассказывают, каковы критерии таргетинга и производят оплату. После чего PrivateLoader задействует свою сеть фейковых и взломанных сайтов для распространения полученного вредоноса. Этот сервис для хакеров был обнаружен еще весной 2022 года специалистами Intel471. Интересно, что до недавнего времени PrivateLoader занимался распространением только популярных инфосилеров RedLine и Raccoon (за редкими исключениями). Теперь, когда его арсенал пополнил RisePro, специалисты Sekoia отмечают, что новый инфостилер обладает возможностями загрузчика, а его код во многом совпадает с кодом самого PrivateLoader. Сходства были замечены в технике обфускации строк, обфускации HTTP-сообщений, а также в настройке HTTP и портов. В итоге исследователи предполагают, что RisePro могли разработать те же люди, которые стоят за PrivateLoader. Другая теория гласит, что RisePro — это новый виток развития самого PrivateLoader или «детище» бывшего разработчика тоже же хак-группы, который теперь продвигает собственный PPI-сервис.
CSS
запостил(а)
Moore
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: