Conheça novo golpe online que rouba dados de cartões de crédito e mais
RisePro tenta roubar uma ampla variedade de dados de aplicativos, navegadores da web, extensões do navegador, softwares e criptomoedas
Analistas das empresas de segurança digital Flashpoint e da Sekoia identificaram um novo malware de roubo de informações. O RisePro é projetado para favorecer o roubo de cartões de crédito, senhas e carteiras de criptomoedas das vítimas de aparelhos infectados.
As duas empresas de segurança cibernética confirmaram que o RisePro é um ladrão de dados até então não documentado por empresas de cibersegurança. Ele é divulgado por meio de sites operados pelo serviço de distribuição de softwares nocivos PrivateLoader.
Segundo a Flashpoint, milhares de logs (pacotes de dados roubados de dispositivos infectados) do RisePro foram vendidos no mercado russo de dark web.
A Sekoia identificou semelhanças de código entre o PrivateLoader e o RisePro, sugerindo que a plataforma de malware agora espalha seu próprio ladrão de informações para si mesma ou como um serviço pago.
O novo malware foi verificado como disponível para compra via Telegram, onde os usuários podem interagir com o desenvolvedor e os hosts infectados.
Dados técnicos
O RisePro é um malware escrito em C++ que, de acordo com a Flashpoint, pode ser baseado no malware de roubo de senhas do Vidar (trojan usado por cibercriminosos), por conter o mesmo sistema de introduzir arquivos DLL no computador.
Segundo a Sekoia, algumas amostras do RisePro entram como DLLs, enquanto em outras o malware as busca no servidor C2 (ou seja, o computador do invasor) por meio de solicitações POST (método de requisição de dados suportados pelo protocolo HTTP, o mesmo de sites de internet).
A rotina funciona da seguinte forma:
- Primeiro o malware identifica o sistema comprometido examinando as chaves de registro do computador;
- Em seguida, grava os dados e senhas roubadas da máquina;
- Depois realiza uma captura de tela;
- Tudo é agrupado em um arquivo compactado, do tipo ZIP;
- Esse arquivo é enviado para o invasor.
O RisePro tenta roubar uma ampla variedade de dados de aplicativos, navegadores da web, extensões do navegador, softwares e ativos de criptomoeda. Além disso, pode digitalizar pastas do sistema de arquivos em busca de dados, como recibos contendo informações de cartão de crédito.
PrivateLoader usa sua rede para distribuir o RisePro
Os agentes de ameaças fornecem a amostra de malware que desejam distribuir, critérios de segmentação e pagamento à equipe do PrivateLoader, que usa sua rede de sites falsos e invadidos para distribuir malware.
Até então, os dois programas "ladrões" de informações populares do PrivateLoader eram RedLine ou Raccoon.
Tudo indica que as mesmas pessoas por trás do PrivateLoader desenvolveram o RisePro, mas há outras hipóteses como a evolução do PrivateLoader ou de ter sido criado por um ex-desenvolvedor.
