-
14/01/2021
-
19
-
85 bài viết
PrivateLoader được phát hiện trong phần mềm độc hại đánh cắp thông tin RisePro
PrivateLoader - Dịch vụ download phần mềm độc hại pay-per-install (PPI) đang được sử dụng để phát tán phần mềm độc hại đánh cắp thông tin có tên RisePro.
RisePro là phần mềm độc hại dựa trên C++, có những điểm tương đồng với một phần mềm độc hại đánh cắp thông tin khác là Vidar phát triển dựa trên Arkei, xuất hiện vào năm 2018.
Theo những phân tích từ công ty an ninh mạng SEKOIA, RisePro có một phần mã nguồn trùng lặp với PrivateLoader, bao gồm: cơ chế xáo trộn chuỗi, phương thức HTTP và thiết lập cổng cũng như các phương thức che giấu thông báo HTTP.
PrivateLoader là một dịch vụ tải xuống cho phép những người đã đăng ký phân phối các payloads độc hại đến các máy chủ mục tiêu. Trước đây, nó đã được sử dụng để cung cấp Vidar Stealer, RedLine Stealer, Amadey, DanaBot và NetDooka, nhưng RisePro khác những kẻ đánh cắp kế nhiệm ở chỗ nó có khả năng đánh cắp nhiều loại dữ liệu từ 36 trình duyệt web, bao gồm: cookie, mật khẩu, thẻ tín dụng, ví tiền điện tử, cũng như thu thập các file quan trọng và tải thêm payloads.
RisePro được rao bán trên Telegram, đồng thời nhà phát triển cũng tạo một kênh Telegram riêng theo từng ID của máy chủ bị nhiễm cho phép những kẻ tội phạm tương tác với các hệ thống đã bị kiểm soát.
Ngoài ra, một phần cơ sở hạ tầng của phần mềm độc hại là bảng quản trị được lưu trữ tại miền có tên my-rise[.]cc cho phép truy cập vào nhật ký dữ liệu bị đánh cắp - chỉ cho phép các tài khoản đang sử dụng dịch vụ và đã được xác thực
Hiện tại vẫn chưa rõ liệu tác giả RisePro có phải cùng đứng sau các hoạt động PrivateLoader và liệu nó có được đóng gói độc quyền cùng với dịch vụ PPI hay không, nhưng PrivateLoader vẫn đang hoạt động và đi kèm với một loạt khả năng mới.
RisePro là phần mềm độc hại dựa trên C++, có những điểm tương đồng với một phần mềm độc hại đánh cắp thông tin khác là Vidar phát triển dựa trên Arkei, xuất hiện vào năm 2018.
Theo những phân tích từ công ty an ninh mạng SEKOIA, RisePro có một phần mã nguồn trùng lặp với PrivateLoader, bao gồm: cơ chế xáo trộn chuỗi, phương thức HTTP và thiết lập cổng cũng như các phương thức che giấu thông báo HTTP.
PrivateLoader là một dịch vụ tải xuống cho phép những người đã đăng ký phân phối các payloads độc hại đến các máy chủ mục tiêu. Trước đây, nó đã được sử dụng để cung cấp Vidar Stealer, RedLine Stealer, Amadey, DanaBot và NetDooka, nhưng RisePro khác những kẻ đánh cắp kế nhiệm ở chỗ nó có khả năng đánh cắp nhiều loại dữ liệu từ 36 trình duyệt web, bao gồm: cookie, mật khẩu, thẻ tín dụng, ví tiền điện tử, cũng như thu thập các file quan trọng và tải thêm payloads.
RisePro được rao bán trên Telegram, đồng thời nhà phát triển cũng tạo một kênh Telegram riêng theo từng ID của máy chủ bị nhiễm cho phép những kẻ tội phạm tương tác với các hệ thống đã bị kiểm soát.
Ngoài ra, một phần cơ sở hạ tầng của phần mềm độc hại là bảng quản trị được lưu trữ tại miền có tên my-rise[.]cc cho phép truy cập vào nhật ký dữ liệu bị đánh cắp - chỉ cho phép các tài khoản đang sử dụng dịch vụ và đã được xác thực
Hiện tại vẫn chưa rõ liệu tác giả RisePro có phải cùng đứng sau các hoạt động PrivateLoader và liệu nó có được đóng gói độc quyền cùng với dịch vụ PPI hay không, nhưng PrivateLoader vẫn đang hoạt động và đi kèm với một loạt khả năng mới.
Chỉnh sửa lần cuối bởi người điều hành: