El servicio de descarga de malware de pago por instalación (PPI) conocido como PrivateLoader se está utilizando para distribuir un malware de robo de información previamente documentado y apodado RisePro.
Flashpoint descubrió el nuevo ladrón el 13 de diciembre de 2022, después de descubrir "varios conjuntos de registros" extraídos utilizando el malware en un mercado ilícito de ciberdelincuencia llamado Russian Market.
Se dice que RisePro, un malware basado en C++, comparte similitudes con otro malware de robo de información conocido como Vidar stealer, a su vez una bifurcación de un stealer con nombre en código Arkei que surgió en 2018.
"La aparición del ladrón como carga útil para un servicio de pago por instalación puede indicar la confianza de un actor de amenazas en las habilidades del ladrón", señaló la compañía de inteligencia de amenazas en un escrito la semana pasada.
La empresa de ciberseguridad SEKOIA, que publicó su propio análisis de RisePro, identificó además solapamientos parciales del código fuente con PrivateLoader. Se trata del mecanismo de codificación de cadenas, la configuración de métodos y puertos HTTP y el método de ofuscación de mensajes HTTP.
PrivateLoader, como su nombre indica, es un servicio de descarga que permite a sus suscriptores entregar cargas maliciosas a hosts objetivo.
Se ha utilizado en el pasado para distribuir Vidar Stealer, RedLine Stealer, Amadey, DanaBot y NetDooka, entre otros, haciéndose pasar por software pirata alojado en sitios señuelo o portales WordPress comprometidos que aparecen de forma destacada en los resultados de búsqueda.
RisePro no difiere de otros ladrones en que es capaz de robar una amplia gama de datos de hasta 36 navegadores web, incluyendo cookies, contraseñas, tarjetas de crédito, monederos criptográficos, así como recopilar archivos de interés y cargar más cargas útiles.
Se ofrece a la venta en Telegram y el desarrollador del malware también pone a disposición un canal de Telegram que permite a los delincuentes interactuar con los sistemas infectados proporcionando un ID de bot creado por el ladrón y enviado a un servidor remoto después de una violación exitosa.
También forma parte de la infraestructura del malware un panel de administración alojado en un dominio llamado my-rise[.]cc que permite acceder a los registros de datos robados, pero sólo después de iniciar sesión en una cuenta con un conjunto válido de credenciales.
Por el momento no está claro si RisePro es obra del mismo conjunto de actores de amenazas que están detrás de PrivateLoader y si se incluye exclusivamente junto con el servicio PPI.
"PrivateLoader sigue activo y viene con un conjunto de nuevas capacidades", dijo SEKOIA. "Las similitudes entre el ladrón y PrivateLoader no pueden ser ignoradas y proporciona una visión adicional de la expansión de los actores de amenazas".