Der als PrivateLoader bekannte Pay-per-Install (PPI) Malware-Downloader-Dienst wird für die Verbreitung einer bereits zuvor dokumentierten Malware mit dem Namen RisePro genutzt, die Informationen stiehlt.
Flashpoint entdeckte den neu identifizierten Dieb am 13. Dezember 2022, nachdem es „mehrere Sätze von Logs“ entdeckt hatte, die mithilfe der Malware auf einem illegalen Cybercrime-Marktplatz namens Russian Market exfiltriert wurden.
RisePro ist eine C++-basierte Malware, die Ähnlichkeiten mit der Malware Vidar aufweist, die ihrerseits eine Abspaltung des 2018 aufgetauchten Stealers Arkei ist.
„Das Auftauchen des Stealers als Nutzlast für einen kostenpflichtigen Dienst könnte darauf hindeuten, dass die Bedrohungsakteure Vertrauen in die Fähigkeiten des Stealers haben“, schrieb die Threat Intelligence Company letzte Woche in einem Bericht.
Die Cybersecurity-Firma SEKOIA, die ihre eigene Analyse von RisePro veröffentlicht hat, hat außerdem teilweise Überschneidungen im Quellcode mit PrivateLoader festgestellt. Dazu gehören der Mechanismus zur Verschlüsselung von Zeichenketten, die Einrichtung von HTTP-Methoden und -Ports sowie die Methode zur Verschleierung von HTTP-Nachrichten.
PrivateLoader ist, wie der Name schon sagt, ein Download-Dienst, der es seinen Abonnenten ermöglicht, bösartige Nutzdaten auf Zielhosts zu übertragen.
Er wurde in der Vergangenheit u. a. für die Verbreitung von Vidar Stealer, RedLine Stealer, Amadey, DanaBot und NetDooka genutzt, wobei er sich als raubkopierte Software tarnte, die auf Täuschungsseiten oder kompromittierten WordPress-Portalen gehostet wird, die in den Suchergebnissen prominent erscheinen.
RisePro unterscheidet sich nicht von anderen Stealern, denn er ist in der Lage, eine Vielzahl von Daten aus bis zu 36 Webbrowsern zu stehlen, darunter Cookies, Passwörter, Kreditkarten und Krypto-Wallets, sowie interessante Dateien zu sammeln und weitere Payloads zu laden.
Die Malware wird auf Telegram zum Verkauf angeboten. Der Entwickler der Malware stellt auch einen Telegram-Kanal zur Verfügung, über den kriminelle Akteure mit infizierten Systemen interagieren können, indem sie eine Bot-ID angeben, die vom Dieb erstellt und nach einem erfolgreichen Einbruch an einen entfernten Server gesendet wird.
Zur Infrastruktur der Malware gehört auch ein Administrationspanel, das auf einer Domain namens my-rise[.]cc gehostet wird und den Zugriff auf die gestohlenen Datenprotokolle ermöglicht, allerdings nur nach Anmeldung bei einem Konto mit gültigen Zugangsdaten.
Derzeit ist nicht klar, ob RisePro von denselben Bedrohungsakteuren stammt, die auch für PrivateLoader verantwortlich sind, und ob es ausschließlich mit dem PPI-Dienst gebündelt wird.
„PrivateLoader ist immer noch aktiv und verfügt über eine Reihe neuer Funktionen“, so SEKOIA. „Die Ähnlichkeiten zwischen dem Stealer und PrivateLoader sind nicht zu übersehen und geben zusätzliche Einblicke in die Expansion der Bedrohungsakteure.“