注意!新恶意软件通过假冒的破解网站窃取你的信息

admin 2022年12月27日23:12:05安全新闻评论13 views2340字阅读7分48秒阅读模式
注意!新恶意软件通过假冒的破解网站窃取你的信息

关键词

恶意软件


一种名为“RisePro”的新型信息窃取恶意软件正在通过由 PrivateLoader 按安装付费 (PPI) 恶意软件分发服务运营的虚假破解站点进行分发。


RisePro 旨在帮助攻击者从受感染的设备中窃取受害者的信用卡、密码和加密钱包。


本周Flashpoint 和 Sekoia的分析师发现了该恶意软件  ,两家网络安全公司都确认 RisePro 是一个以前未记录的信息窃取程序,现在通过假软件破解和密钥生成器进行分发。


Flashpoint 报告称,威胁行为者已经开始在俄罗斯暗网市场上出售数以千计的 RisePro 日志(从受感染设备窃取的数据包)。


此外,Sekoia 发现 PrivateLoader 和 RisePro 之间存在广泛的代码相似性,这表明恶意软件分发平台现在可能正在传播自己的信息窃取程序,无论是为自身还是作为服务。


目前,RisePro 可以通过 Telegram 购买,用户还可以与开发者和受感染的主机(Telegram bot)进行交互。

注意!新恶意软件通过假冒的破解网站窃取你的信息


RisePro C2 面板


RisePro 是一种 C++ 恶意软件,根据 Flashpoint 的说法,它可能基于 Vidar 密码窃取恶意软件,因为它使用相同的嵌入式 DLL 依赖项系统。

注意!新恶意软件通过假冒的破解网站窃取你的信息

恶意软件工作目录中的 DLL


Sekoia 进一步解释说,RisePro 的一些样本嵌入了 DLL,而在其他样本中,恶意软件通过 POST 请求从 C2 服务器获取它们。


信息窃取者首先通过仔细检查注册表项对受感染的系统进行指纹识别,将窃取的数据写入文本文件,截取屏幕截图,将所有内容打包到 ZIP 存档中,然后将文件发送到攻击者的服务器。


RisePro 试图从应用程序、浏览器、加密钱包和浏览器扩展中窃取各种数据,如下所列:


网络浏览器:Google Chrome、Firefox、Maxthon3、K-Melon、Sputnik、Nichrome、Uran、Chromodo、Netbox、Comodo、Torch、Orbitum、QIP Surf、Coowon、CatalinaGroup Citrio、Chromium、Elements、Vivaldi、Chedot、CentBrowser、7start、 ChomePlus、Iridium、Amigo、Opera、Brave、CryptoTab、Yandex、IceDragon、BlackHaw、Pale Moon、Atom。


浏览器扩展:Authenticator、MetaMask、Jaxx Liberty Extension、iWallet、BitAppWallet、SaturnWallet、GuildWallet、MewCx、Wombat、CloverWallet、NeoLine、RoninWallet、LiqualityWallet、EQUALWallet、Guarda、Coinbase、MathWallet、NiftyWallet、Yoroi、BinanceChainWallet、TronLink、Phantom、Oxygen , PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet。


软件:Discord、battle.net、Authy Desktop。


加密货币资产:Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin,Litecoin,Reddcoin。


除了上述之外,RisePro 还可以扫描文件系统文件夹以查找有趣的数据,例如包含信用卡信息的收据。


PrivateLoader 是一种按安装付费的恶意软件分发服务,伪装成软件破解、密钥生成器和游戏修改。


威胁行为者向 PrivateLoader 团队提供他们希望分发的恶意软件样本、目标标准和付款,然后该团队使用他们的虚假和被黑网站网络来分发恶意软件。


该服务于 2022 年 2 月首次被Intel471发现,而在 2022 年 5 月,趋势科技观察到 PrivateLoader 推出了一种名为“ NetDooka ”的新远程访问木马 (RAT)。


直到最近,PrivateLoader 几乎只分发 RedLine 或 Raccoon,这两种流行的信息窃取工具。


随着 RisePro 的加入,Sekoia 现在报告在新的恶意软件中发现了加载器功能,同时强调其代码的这一部分与 PrivateLoader 的代码有广泛的重叠。


相似之处包括字符串混淆技术、HTTP 消息混淆以及 HTTP 和端口设置。


注意!新恶意软件通过假冒的破解网站窃取你的信息


HTTP 端口设置中的代码相似度为 30%


一种可能的情况是 PrivateLoader 背后的同一个人开发了 RisePro。


另一种假设是,RisePro 是 PrivateLoader 的演变,或者是现在推广类似 PPI 服务的流氓前开发人员的创建。


根据收集到的证据,还无法确定这两个项目之间的确切联系。



   END  

阅读推荐

注意!新恶意软件通过假冒的破解网站窃取你的信息【安全圈】盘点:2022全球网络泄密事件

注意!新恶意软件通过假冒的破解网站窃取你的信息【安全圈】字节跳动员工违规获取TikTok用户数据:公司或面临重罚

注意!新恶意软件通过假冒的破解网站窃取你的信息【安全圈】萌萌的扫地机器人,竟是隐私泄露的罪魁祸首?

注意!新恶意软件通过假冒的破解网站窃取你的信息【安全圈】黑客在线出售 4 亿 Twitter 用户数据,喊话马斯克



注意!新恶意软件通过假冒的破解网站窃取你的信息
注意!新恶意软件通过假冒的破解网站窃取你的信息

安全圈

注意!新恶意软件通过假冒的破解网站窃取你的信息

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

注意!新恶意软件通过假冒的破解网站窃取你的信息

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!


注意!新恶意软件通过假冒的破解网站窃取你的信息

原文始发于微信公众号(安全圈):【安全圈】注意!新恶意软件通过假冒的破解网站窃取你的信息

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月27日23:12:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  注意!新恶意软件通过假冒的破解网站窃取你的信息 http://cn-sec.com/archives/1483070.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: