Por Redação O Sul | 27 de dezembro de 2022
Analistas das empresas de segurança digital Flashpoint e da Sekoia identificaram um novo malware de roubo de informações. O RisePro é projetado para favorecer o roubo de cartões de crédito, senhas e carteiras de criptomoedas das vítimas de aparelhos infectados.
As duas empresas de segurança cibernética confirmaram que o RisePro é um ladrão de dados até então não documentado por empresas de cibersegurança. Ele é divulgado por meio de sites operados pelo serviço de distribuição de softwares nocivos PrivateLoader.
Segundo a Flashpoint, milhares de logs (pacotes de dados roubados de dispositivos infectados) do RisePro foram vendidos no mercado russo de dark web.
A Sekoia identificou semelhanças de código entre o PrivateLoader e o RisePro, sugerindo que a plataforma de malware agora espalha seu próprio ladrão de informações para si mesma ou como um serviço pago.
O novo malware foi verificado como disponível para compra via Telegram, onde os usuários podem interagir com o desenvolvedor e os hosts infectados.
Dados técnicos
O RisePro é um malware escrito em C++ que, de acordo com a Flashpoint, pode ser baseado no malware de roubo de senhas do Vidar (trojan usado por cibercriminosos), por conter o mesmo sistema de introduzir arquivos DLL no computador.
Segundo a Sekoia, algumas amostras do RisePro entram como DLLs, enquanto em outras o malware as busca no servidor C2 (ou seja, o computador do invasor) por meio de solicitações POST (método de requisição de dados suportados pelo protocolo HTTP, o mesmo de sites de internet).
A rotina funciona da seguinte forma:
– Primeiro o malware identifica o sistema comprometido examinando as chaves de registro do computador;
– Em seguida, grava os dados e senhas roubadas da máquina;
– Depois realiza uma captura de tela;
– Tudo é agrupado em um arquivo compactado, do tipo ZIP;
– Esse arquivo é enviado para o invasor.
O RisePro tenta roubar uma ampla variedade de dados de aplicativos, navegadores da web, extensões do navegador, softwares e ativos de criptomoeda. Além disso, pode digitalizar pastas do sistema de arquivos em busca de dados, como recibos contendo informações de cartão de crédito.
Rede de sites falsos
Os agentes de ameaças fornecem a amostra de malware que desejam distribuir, critérios de segmentação e pagamento à equipe do PrivateLoader, que usa sua rede de sites falsos e invadidos para distribuir malware.
Até então, os dois programas “ladrões” de informações populares do PrivateLoader eram RedLine ou Raccoon.
Tudo indica que as mesmas pessoas por trás do PrivateLoader desenvolveram o RisePro, mas há outras hipóteses como a evolução do PrivateLoader ou de ter sido criado por um ex-desenvolvedor. As informações são do portal de notícias Terra.
