Home Sociedad Se descubre que el servicio PPI PrivateLoader distribuye el malware de robo...

Se descubre que el servicio PPI PrivateLoader distribuye el malware de robo de información RisePro

El servicio de descarga de malware de pago por instalación (PPI) conocido como PrivateLoader está utilizándose para distribuir un malware de robo de información previamente documentado apodado RisePro.

Flashpoint descubrió el nuevo ladrón el 13 de diciembre de 2022, después de descubrir “varios conjuntos de registros” extraídos utilizando el malware en un mercado ilícito de ciberdelincuencia llamado Russian Market.

Se dice que RisePro, un malware basado en C++, comparte similitudes con otro malware de robo de información conocido como Vidar stealer, a su vez una bifurcación de un ladrón con nombre en código Arkei que surgió en 2018.

La empresa de ciberseguridad SEKOIA, que publicó su propio análisis de RisePro, identificó además solapamientos parciales del código fuente con PrivateLoader. Se trata del mecanismo de codificación de cadenas, la configuración de métodos y puertos HTTP y el método de ofuscación de mensajes HTTP.

PrivateLoader, como su nombre indica, es un servicio de descarga que permite a sus suscriptores enviar cargas maliciosas a hosts objetivo.

Se ha utilizado en el pasado para distribuir Vidar Stealer, RedLine Stealer, Amadey, DanaBot y NetDooka, entre otros, haciéndose pasar por software pirata alojado en sitios señuelo o portales de WordPress comprometidos que aparecen de forma destacada en los resultados de búsqueda.

RisePro no difiere de otros ladrones en que es capaz de robar una amplia gama de datos de hasta 36 navegadores web, incluyendo cookies, contraseñas, tarjetas de crédito, monederos criptográficos, así como recopilar archivos de interés y cargar más cargas útiles.

Se ofrece a la venta en Telegram, y el desarrollador del malware también pone a disposición un canal de Telegram que permite a los delincuentes interactuar con los sistemas infectados proporcionando un ID de bot creado por el ladrón y enviado a un servidor remoto después de una violación exitosa.

También forma parte de la infraestructura del malware un panel de administración alojado en un dominio llamado my-rise[.]cc que permite acceder a los registros de datos robados, pero sólo después de iniciar sesión en una cuenta con un conjunto válido de credenciales.

Por el momento no está claro si RisePro es obra del mismo conjunto de actores de amenazas que están detrás de PrivateLoader, y si se incluye exclusivamente junto con el servicio PPI.