Olarak bilinen yükleme başına ödeme (PPI) kötü amaçlı yazılım indirme hizmeti Özel Yükleyici adlı daha önce belgelenmiş bilgi çalan bir kötü amaçlı yazılımı dağıtmak için kullanılıyor. RisePro.
Flashpoint, yeni tanımlanan hırsızı 13 Aralık 2022’de, Russian Market adlı yasa dışı bir siber suç pazarında kötü amaçlı yazılım kullanılarak sızan “birkaç günlük kümesini” keşfettikten sonra tespit etti.
C++ tabanlı bir kötü amaçlı yazılım olan RisePro’nun, kendisi de 2018’de ortaya çıkan Arkei kod adlı bir hırsızın çatalı olan Vidar hırsızı olarak adlandırılan başka bir bilgi çalan kötü amaçlı yazılımla benzerlikler paylaştığı söyleniyor.
Tehdit istihbarat şirketi geçen hafta yazdığı bir yazıda, “Hırsızın kurulum başına ödeme hizmeti için bir yük olarak görünmesi, bir tehdit aktörünün hırsızın yeteneklerine olan güvenini gösterebilir.”
Kendi analizini yayınlayan siber güvenlik firması SEKOIA RisePro, ayrıca kısmi kaynak kodunun PrivateLoader ile çakıştığını belirledi. Bu, dize karıştırma mekanizmasını, HTTP yöntemini ve bağlantı noktası kurulumunu ve HTTP mesaj gizleme yöntemini kapsar.
PrivateLoader, adından da anlaşılacağı gibi, abonelerinin hedef ana bilgisayarlara kötü amaçlı yükler göndermesini sağlayan bir indirme hizmetidir.
Geçmişte, diğerlerinin yanı sıra Vidar Stealer, RedLine Stealer, Amadey, DanaBot ve NetDooka’yı sunmak için kullanılırken, arama sonuçlarında belirgin bir şekilde görünen sahte sitelerde veya güvenliği ihlal edilmiş WordPress portallarında barındırılan korsan yazılım kılığına girdi.
RisePro’nun çerezler, şifreler, kredi kartları, kripto cüzdanları dahil olmak üzere 36 web tarayıcısından geniş bir veri yelpazesini çalabilmesi ve ayrıca ilgilenilen dosyaları toplaması ve daha fazla yük yüklemesi açısından diğer hırsızlardan hiçbir farkı yoktur.
Kötü amaçlı yazılımın geliştiricisi, hırsız tarafından oluşturulan ve başarılı bir ihlalden sonra uzak bir sunucuya gönderilen bir bot kimliği sağlayarak suçlu aktörlerin virüs bulaşmış sistemlerle etkileşime girmesine olanak tanıyan bir Telegram kanalını da kullanıma sunarak Telegram’da satışa sunuluyor.
Kötü amaçlı yazılımın altyapısının bir parçası da my-rise adlı bir etki alanında barındırılan bir yönetim panelidir.[.]cc, çalınan veri günlüklerine erişime izin verir, ancak yalnızca geçerli bir kimlik bilgileri grubuyla bir hesapta oturum açtıktan sonra.
Şu anda, RisePro’nun PrivateLoader’ın arkasındaki aynı tehdit aktörleri grubu tarafından yazılıp yazılmadığı ve PPI hizmetiyle birlikte özel olarak paketlenip paketlenmediği şu anda net değil.
SEKOIA, “PrivateLoader hala aktif ve bir dizi yeni yetenekle birlikte geliyor” dedi. “Halıcı ve PrivateLoader arasındaki benzerlikler göz ardı edilemez ve tehdit aktörü genişlemesine ilişkin ek bilgiler sağlar.”