Il servizio di download di malware on-demand noto come PrivateLoader viene attualmente utilizzato per distribuire un malware per il furto di informazioni chiamato RisePro.
Occorre prestare attenzione quando si visitano i siti di cracking (software pirata) e i download disponibili. Non è raro che gli hacker nascondano vari malware tra i dati. Invece di ottenere semplicemente una versione gratuita di un software altrimenti a pagamento, le vittime hanno quindi diritto a un bonus malware.
Nelle ultime settimane è apparso un nuovo Infostealer, chiamato “RisePro”. Si tratta di un ladro di dati recentemente identificato, scritto in C++, che sembra avere funzionalità simili al malware “Vidar”. Come promemoria, quest’ultimo si nasconde ora in file con estensione .CHM e consente di raccogliere dati da una macchina prima di inviarli a un server.
Qesto nuovo malware è uno dei peggiori del momento
RisePro prende di mira le informazioni potenzialmente sensibili presenti sui computer infetti e tenta di esfiltrare tali informazioni sotto forma di registri. È in grado di rubare un’ampia gamma di dati da 36 browser web, tra cui cookie, password, carte di credito e portafogli di criptovalute.
Sembra anche che sia ampiamente utilizzato dagli hacker, dato che è in vendita sull’app di messaggistica Telegram. Lo sviluppatore del malware sembra persino fornire un canale Telegram che consente ai cyber criminali di interagire con i sistemi infetti.
Flashpoint ha identificato per la prima volta RisePro il 13 dicembre 2022, dopo che gli analisti hanno individuato diverse serie di registri scaricati dal mercato clandestino russo che indicavano come fonte “RisePro”.
L’azienda di sicurezza informatica SEKOIA, che ha pubblicato la propria analisi di RisePro, ha anche identificato sovrapposizioni parziali del codice sorgente con PrivateLoader, un servizio di download che consente ai suoi abbonati di trasmettere payload dannosi agli host di destinazione. Questo include il meccanismo di scrambling delle stringhe, la configurazione del metodo e della porta HTTP e il metodo di offuscamento dei messaggi HTTP.
