Script = https://s1.trrsf.com/update-1734630909/fe/zaz-ui-t360/_js/transition.min.js
PUBLICIDADE

Conheça novo golpe online que rouba dados de cartões de crédito e mais

RisePro tenta roubar uma ampla variedade de dados de aplicativos, navegadores da web, extensões do navegador, softwares e criptomoedas

27 dez 2022 - 17h45
(atualizado às 17h47)
Compartilhar
Exibir comentários
Cartões de crédito, senhas e criptomoedas na mira de novo malware
Cartões de crédito, senhas e criptomoedas na mira de novo malware
Foto: Freepik

Analistas das empresas de segurança digital Flashpoint e da Sekoia identificaram um novo malware de roubo de informações. O RisePro é projetado para favorecer o roubo de cartões de crédito, senhas e carteiras de criptomoedas das vítimas de aparelhos infectados.

As duas empresas de segurança cibernética confirmaram que o RisePro é um ladrão de dados até então não documentado por empresas de cibersegurança. Ele é divulgado por meio de sites operados pelo serviço de distribuição de softwares nocivos PrivateLoader.

Segundo a Flashpoint, milhares de logs (pacotes de dados roubados de dispositivos infectados) do RisePro foram vendidos no mercado russo de dark web.

A Sekoia identificou semelhanças de código entre o PrivateLoader e o RisePro, sugerindo que a plataforma de malware agora espalha seu próprio ladrão de informações para si mesma ou como um serviço pago.

O novo malware foi verificado como disponível para compra via Telegram, onde os usuários podem interagir com o desenvolvedor e os hosts infectados.

Dados técnicos

O RisePro é um malware escrito em C++ que, de acordo com a Flashpoint, pode ser baseado no malware de roubo de senhas do Vidar (trojan usado por cibercriminosos), por conter o mesmo sistema de introduzir arquivos DLL no computador.

Segundo a Sekoia, algumas amostras do RisePro entram como DLLs, enquanto em outras o malware as busca no servidor C2 (ou seja, o computador do invasor) por meio de solicitações POST (método de requisição de dados suportados pelo protocolo HTTP, o mesmo de sites de internet).

A rotina funciona da seguinte forma: 

  • Primeiro o malware identifica o sistema comprometido examinando as chaves de registro do computador;
  • Em seguida, grava os dados e senhas roubadas da máquina;
  • Depois realiza uma captura de tela;
  • Tudo é agrupado em um arquivo compactado, do tipo ZIP;
  • Esse arquivo é enviado para o invasor.

O RisePro tenta roubar uma ampla variedade de dados de aplicativos, navegadores da web, extensões do navegador, softwares e ativos de criptomoeda. Além disso, pode digitalizar pastas do sistema de arquivos em busca de dados, como recibos contendo informações de cartão de crédito.

PrivateLoader usa sua rede para distribuir o RisePro

Os agentes de ameaças fornecem a amostra de malware que desejam distribuir, critérios de segmentação e pagamento à equipe do PrivateLoader, que usa sua rede de sites falsos e invadidos para distribuir malware.

Até então, os dois programas "ladrões" de informações populares do PrivateLoader eram RedLine ou Raccoon.

Tudo indica que as mesmas pessoas por trás do PrivateLoader desenvolveram o RisePro, mas há outras hipóteses como a evolução do PrivateLoader ou de ter sido criado por um ex-desenvolvedor.

Fonte: Redação Byte
Compartilhar
TAGS
Publicidade
Seu Terra












Publicidade