'Risepro' adlı yeni bir bilgi çalma kötü amaçlı yazılımı, Privateloader Pay-Install Pay (PPI) kötü amaçlı yazılım dağıtım hizmeti tarafından işletilen sahte çatlak siteleri aracılığıyla dağıtılmaktadır.
Risepro, saldırganların kurbanların kredi kartlarını, şifrelerini ve enfekte cihazlardan kripto cüzdanlarını çalmasına yardımcı olmak için tasarlanmıştır.
Kötü amaçlı yazılım, bu hafta Flashpoint ve Sekoia'daki analistler tarafından tespit edildi ve her iki siber güvenlik firması, Risepro'nun daha önce belgelenmemiş bir bilgi çalma olduğunu doğruladı.
Flashpoint, tehdit aktörlerinin zaten Rus karanlık web pazarlarında binlerce Risepro günlüklerini (enfekte cihazlardan çalınan veri paketleri) satmaya başladığını bildirdi.
Buna ek olarak, Sekoia, Privateloader ve Risepro arasında kapsamlı kod benzerlikleri keşfetti, bu da kötü amaçlı yazılım dağıtım platformunun muhtemelen kendisi veya bir hizmet olarak kendi bilgi sığınağını yaydığını gösterdi.
Şu anda Risepro, kullanıcıların geliştirici ve enfekte edilmiş ana bilgisayarlarla (Telegram Bot) etkileşime girebileceği Telegram aracılığıyla satın alınabilir.
Risepro, Flashpoint'e göre, aynı gömülü DLL bağımlılıkları sistemini kullandığı için VIDAR şifre çalan kötü amaçlı yazılımlara dayanabilecek bir C ++ kötü amaçlı yazılımdır.
Sekoia ayrıca, bazı Risepro örneklerinin DLL'leri gömdüğünü açıklarken, diğerlerinde kötü amaçlı yazılım onları Post istekleri aracılığıyla C2 sunucusundan getirir.
Info-Stealer ilk önce, kayıt defteri anahtarlarını inceleyerek, çalınan verileri bir metin dosyasına yazar, bir ekran görüntüsü alır, bir fermuarlı arşivde her şeyi bir araya getirir ve ardından dosyayı saldırganın sunucusuna gönderir.
Risepro, aşağıda listelendiği gibi uygulamalar, tarayıcılar, kripto cüzdanları ve tarayıcı uzantılarından çok çeşitli veriler çalmaya çalışır:
Yukarıdakilere ek olarak, Risepro, kredi kartı bilgileri içeren makbuzlar gibi ilginç veriler için dosya sistemi klasörlerini tarayabilir.
Privateloader, yazılım çatlakları, anahtar jeneratörler ve oyun modifikasyonları olarak gizlenmiş bir giriş başına ödeme kötü amaçlı yazılım dağıtım hizmetidir.
Tehdit aktörleri, daha sonra kötü amaçlı yazılım dağıtmak için sahte ve hacklenen web siteleri ağlarını kullanan Privateloader ekibine dağıtmak istedikleri kötü amaçlı yazılım örneğini sağlar.
Hizmet ilk olarak Intel471 tarafından Şubat 2022'de tespit edilirken, Mayıs 2022'de Micro Privateloader'ın 'Netdooka' adlı yeni bir uzaktan erişim Truva atı (sıçan) ittiğini gözlemledi.
Yakın zamana kadar, Privateloader neredeyse tamamen Redline veya Raccoon, iki popüler bilgi çalmacı dağıttı.
Risepro'nun eklenmesiyle Sekoia, yeni kötü amaçlı yazılımlarda yükleyici özelliklerini bulduğunu bildiriyor ve ayrıca kodunun bu kısmının Privateloader'ınkiyle kapsamlı örtüşme olduğunu vurguluyor.
Benzerlikler, dizilerin gizleme tekniği, HTTP mesajı gizlemesi ve HTTP ve bağlantı noktası kurulumunu içerir.
Muhtemel bir senaryo, Privateloader'ın arkasındaki aynı kişilerin Risepro'yu geliştirmesidir.
Başka bir hipotez, Risepro'nun Privateloader'ın evrimi veya şimdi benzer bir PPI hizmetini teşvik eden haydut eski bir geliştiricinin yaratılmasıdır.
Toplanan kanıtlara dayanarak, Sekoia iki proje arasındaki tam bağlantıyı belirleyemedi.
Bilgi Çalma Kötü Yazılımları ile Hacker Bombardı PYPI Platformu
Binlerce 'müşteriye' sahip yeni Ducklogs Kötü Yazılım Hizmeti Talepleri
Rus Cybergangs bu yıl 50 milyondan fazla şifre çaldı
Aurora Infostealer kötü amaçlı yazılım, siberganglar tarafından giderek daha fazla benimsenmiştir
Ukrayna'nın Delta Askeri Sistemi Kullanıcıları INFO-Yönetici Kötü Yazılımlar tarafından Hedeflenen Kullanıcılar
Kaynak: Bleeping Computer