RisePro hiện đang được phân phối thông qua các trang web cung cấp phần mềm “bẻ khóa”, được điều hành bởi PrivateLoader.
Các nhà nghiên cứu bảo mật tại Flashpoint và Sekoia cho biết kẻ gian đã bắt đầu bán hàng ngàn gói dữ liệu bị đánh cắp từ các thiết bị bị nhiễm trên thị trường web đen của Nga.
RisePro là một phần mềm độc hại C++, được thiết kế để đánh cắp nhiều loại dữ liệu từ các ứng dụng, trình duyệt, ví tiền điện tử và tiện ích mở rộng trình duyệt, như được liệt kê dưới đây:
- Trình duyệt web: Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon, Atom.
- Tiện ích mở rộng trình duyệt: Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet.
- Phần mềm: Discord, battle.net, Authy Desktop.
- Tiền điện tử: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin, Reddcoin.
Ngoài những điều trên, RisePro còn có thể quét các thư mục hệ thống tập tin để tìm dữ liệu như biên lai chứa thông tin thẻ tín dụng.
PrivateLoader là một dịch vụ phân phối phần mềm độc hại trả tiền cho mỗi lần cài đặt được ngụy trang dưới dạng các phần mềm bẻ khóa.
Các tác nhân đe dọa cung cấp mẫu phần mềm độc hại mà họ muốn phân phối, tiêu chí nhắm mục tiêu và thanh toán cho nhóm PrivateLoader, sau đó nhóm này sẽ sử dụng mạng lưới các trang web giả mạo để phân phối phần mềm độc hại.
Dịch vụ này lần đầu tiên được Intel471 phát hiện vào tháng 2-2022, trong khi vào tháng 5-2022, Trend Micro đã quan sát thấy PrivateLoader phát tán một trojan truy cập từ xa (RAT) mới có tên là NetDooka.
Cho đến gần đây, PrivateLoader hầu như chỉ phân phối RedLine hoặc Raccoon, hai phần mềm đánh cắp thông tin phổ biến.
Trước đó không lâu, các nhà nghiên cứu bảo mật tại ThreatFabric cũng đã phát hiện ra một loại phần mềm độc hại ngân hàng có tên là BrasDex.
Theo các nhà nghiên cứu, phần mềm độc hại ngân hàng BrasDex có hệ thống keylogging phức tạp, được thiết kế để lạm dụng dịch vụ trợ năng trên điện thoại nhằm trích xuất thông tin đăng nhập của các ứng dụng ngân hàng được nhắm mục tiêu.
Cơ sở hạ tầng chỉ huy và kiểm soát (C2) của BrasDex cũng đang được sử dụng để điều khiển Casbaneiro, một phần mềm độc hại trên Windows, chuyên nhắm đến các ngân hàng, dịch vụ tiền điện tử ở Brazil và Mexico.
Thống kê cho thấy, phần mềm độc hại BrasDex và Casbaneiro đã lây nhiễm cho hàng ngàn thiết bị.