Главная страница » IOC
0
2 года
IOC

RisePro Stealer IOCs - Part 2

Spyware

RisePro - это недавно выявленный стилер, написанный на C++, который, похоже, обладает схожей функциональностью "Vidar". RisePro нацелен на потенциально конфиденциальную информацию на зараженных машинах и пытается передать ее в виде журналов регистрации.

PrivateLoader - это активная вредоносная программа на рынке загрузчиков, используемая различными угрожающими субъектами для доставки различных полезных нагрузок, в основном для кражи информации. С момента нашего предыдущего расследования мы продолжаем отслеживать эту вредоносную программу, чтобы составить карту ее экосистемы и поставляемых полезных нагрузок. Начиная с этого сообщения на сайте tria.ge, мы узнали знакомую первую полезную нагрузку, а именно PrivateLoader. Однако сброшенный стилер не входил в нашу растущую коллекцию, включающую RedLine или Raccoon.

RisePro Stealer

"RisePro" - это вредоносная программа-кража, которая начала появляться в качестве источника кражи учетных данных журналов на нелегальном магазине журналов Russian Market 13 декабря 2022 года.

Присутствие RisePro на Russian Market может свидетельствовать о его растущей популярности в сообществе угрожающих агентов.

Образцы, выявленные аналитиками Flashpoint, указывают на то, что RisePro мог быть сброшен или загружен сервисом платных загрузчиков вредоносного ПО "PrivateLoader" в прошлом году.

Появление угонщика в качестве полезной нагрузки для сервиса платной установки может свидетельствовать об уверенности угрожающего субъекта в возможностях угонщика.
RisePro, по-видимому, является клоном вредоносной программы-угонщика "Vidar".

Компания Flashpoint впервые обнаружила RisePro 13 декабря 2022 года после того, как аналитики выявили несколько наборов журналов, загруженных на нелегальный подпольный рынок Russian Market, в которых источником был указан "risepro".

Russian Market - это магазин журналов, похожий на другие рынки журналов, такие как Genesis, на котором угрожающие субъекты могут загружать и продавать журналы, собранные у похитителей. На момент написания статьи на Russian Market было представлено более 2 000 логов, предположительно полученных от RisePro.

Целью кражи являются файлы cookie, сохраненные пароли, сохраненные кредитные карты и криптокошельки, а также установленные программы для получения учетных данных.

Веб-браузеры: Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon, Atom.

Браузерные расширения: Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet.

Программное обеспечение: Discord, battle.net, Authy Desktop.

Криптовалютные активы: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin, Reddcoin.

Кража также ищет определенные шаблоны файлов, например, квитанции с информацией о кредитной карте в общих папках (например, Desktop, Download, %TEMP%).

Украденные данные копируются в рабочий каталог вредоносной программы для сжатия в ZIP-файл, эксфильтрируемый во время позднего HTTP-сообщения.

Поведение PrivateLoader и RisePro Stealer частично совпадает. Ниже приведен список конкретных функциональных возможностей, общих для этих двух вредоносных программ:

  • Техника обфускации строк: (операция xor на 128 битах (представляющих целочисленные данные), pxor) с одним и тем же ключом для набора функциональных возможностей;
  • Настройка метода и порта HTTP;
  • HTTP-сообщение, обфусцированное тем же способом (подстановка байтов с одинаковыми значениями замены с последующей операцией XOR);

Сходство, замеченное между этими двумя вредоносными программами, подтверждается результатами работы Bindiff, который показывает более 30% сходства кода.

Indicators of Compromise

IPv4

  • 108.174.198.132
  • 108.174.199.249
  • 108.174.200.11

Domains

  • accesstostofilestorage.com
  • api.my-rise.cc
  • best24-files.com
  • boost-files.com
  • clubfiletyc.com
  • elite-hacks.ru
  • factor1right.com
  • filecryptobur.com
  • filefactory.com
  • files-rate.com
  • filesredproflex.com
  • files-sender.com
  • filessite.com
  • filessoftpc.com
  • filesuk.com
  • fileswhiteprosoft.com
  • first-mirror.com
  • fixgroupfactor.com
  • fvp-files.com
  • gamefilescript.com
  • get-24files.com
  • getfileasap1.com
  • get-files24.com
  • gg-download.com
  • gg-loader.com
  • greatsofteasy.com
  • gs24softeasy.com
  • hero-files.com
  • jojo-files.com
  • m-rise.pro
  • my-rise.cc
  • myrise.pro
  • my-rise.pro
  • neo-files.com
  • pickofiles.com
  • pin-files.com
  • pu-file.com
  • qd-file.com
  • rate-files.com
  • smartfilegen.com
  • socialfiletest.com
  • softs-portal.com
  • speedtestfile.com
  • teleportsoft.com
  • testitsoft.com
  • topfilesstorage.com
  • torggissoft.com
  • uc-files.com
  • uni-files.com
  • upxlead.com
  • vi-files.com
  • vip-space.com
  • webproduct25.com
  • www.filefactory.com
  • xx1-files.com
  • yfilesstorage1.com

URI

  • /set_file.php
  • /get_loaders.php
  • /freezeStats.php
  • /get_grabbers.php
  • /get_marks.php
  • /get_settings.php
  • /pingmap.php

MD5

  • 03366311b4fbe98c0a919b210cf2fa2b
  • 0fc293ca3b73d1166ab149213ff1a240
  • 12db8a9a0fb6baec2f801c640a8a4197
  • 2ecae8d74f6cedfe5f06fd424c3cdc77
  • 319e5fbf83add883095fef277ac8e092
  • 46847232153f38a0326fe0e677a25b9e
  • 5ab956806ec2e729b2c9c260ee3139f2
  • 5df54fe48769bae887eaacb70eb23742
  • 76ef5db3addbe357e753de73e7db258e
  • 95fa2ab112ca196dfe5bdf0c13dd9396
  • 9b98ec558eb6fe1e4055d7535e17e37c
  • a0dfcfb9936669128353663b82fa01b3
  • a5076f73a1cfd10fedf1368a26f9f358
  • ac2eae79e66ddf808900b5e2e261da9b
  • b3fbff1358ce82bc71009634c19ba2bf
  • dbe7d59705f5f919cc6354b81d746584
  • e6b0e14676e5b72a638a142e46f658d9
  • e7cba894426bd9ca2cdc8b6d7ef31aae
  • fd1cabdc949d19b07ca9bfa206ae8560

SHA1

  • 0812df9653b27d994eb5f62e243a63d3ea28b1ec
  • 0a20d79f8de58a088624f964f448846f5fe74afa
  • 1e416f2c40dfc44e60a65df8fd57524bf8e6f5ad
  • 400d3908600b45a8e27f9133cb4950f1e11d5b8d
  • 44afc3c4f62f062a746710440dde3ff7f29b4440
  • 4b3d77895cd313db37793db0e5eb5fa2859c01b2
  • 69a403b81608457ad7106d4215e48e9207367f66
  • 77270de2b41a639e9ca285f9014502a1a5b0b020
  • 77723f0e3c933eff00e0ce1c823aee668d5c3bea
  • 8ae961c6b93f01bb6d7927223041f2d18ed3a2f9
  • 8b2a98870e2a1bd02bf72fc262068d07e620a233
  • afa864c0d0fde050fd0d8694bf895b72d449969b
  • c126c8cc75f6f6ac4b4af125b85c499814053094
  • c3f5b4a2203bf7769963852070f75ae7540fd180
  • cb80fb19380b3dd20032763daa460af4452eebd7
  • cc6284365d1d47460bed78dce4e237b95166a859
  • d1e5ad285bb4506ae77c589682a5bc0a2afdec35
  • f0eea0d1acca29bc82bcfe94b1ccb28d04581579
  • f2303a12b73b6b033dde297ef8bdaf3f4cba6864

SHA256

  • 057b33d69a28fb08733bb710ca22036aaee853791b958e8c4e0c81ae5eed6fcd
  • 28820e270265796566d6651f16651a5fd6c412b9290be07d2829c444d9392a02
  • 2d34e214cbb14456357d2e3381692d188b1004d8ff26280e430c716e6e3730b6
  • 3e38c14c9a27966b7768fa6a61a0bc86b79fdf8f554d232c26d0a13cd8dcdc36
  • 3fea5da905fb8cdb9ef203f85a2b0d37d9cbc8067fbf64d3e1849e84d99de3ee
  • 4107f3166ce3c67f375514ed039d663f197261126724f229e8d3cda2e62728d0
  • 440cec1dd86d03c4e9a29a7b297a30a211f17d48828934a5a7121f1f4b97ef43
  • 478e97b727eb82979087c1d4c2450be18c2d3413ca8c648e7e2a067595ef8511
  • 49fea24c6d2f6340755a22687a6daf63ff2692fe81e6e067b8b2465bc21f49f9
  • 58b1210213ac1cb9c4efe63d43390dfd43bf094408b16033f176e6700ad0fb29
  • 5ee280016fc53c27bbc6d049820cb6dfd33bc4e9e5c618027677793f070eefee
  • 5facf25f6b0d35a79444949b3175fabf3d788cbfbbbbb6551a867e1ddceb00a5
  • 75b395cc766351e6f44f36dcbfdbabc2c4b43ef6fb26f845fb55569a57ebdbdd
  • 8259fed869da390d33cbdb7e2e174ce58a8ebd7f1f99f104b70753eb8679b246
  • 867254ba74add6d8e7484dbdd6d45a4c12acd9e31870d84d9efe202945191286
  • 9564a7f5d7132fe8a97450e0fa4b628b7d802c885f034dc5d094260ff6a76716
  • aa80643e117a896314fe6b1785cb65ab53561f66f5b679ba9f16a05f36e28674
  • ad75f79f985b4ec690fe9280108ae51cec8ef1650581ed4e26497a5e2c2f3ef9
  • ae8becfd65df0625c7e4f2069cb57e6f3c022aff24db51666b4d8b8c6ab15a15
  • b295631063a6186a09a9dfee224bca7af6d4ab1650e9d63cdc325cf3fe1cd3d6
  • C633d7549fb4a77e02fa1e48f8fb3e3b41d8a998778d2e2c024949673dad0ba5
  • c70e26edeacbf1fa052f073959403ee9337a4aed13833553f8a3856fae013c9e
  • d9445561cef089271565e3fe54b8da7aff3ecfe73506762ffcdaedc3615180ba
  • E0579dc3a1e48845194d9cd9415ae492d375fd59cea0e1adf21866afde152f89
  • ffae7d880fcb139d03941e1bc658ce463e179435f438d945c74067fe291beb23
Комментарии: 0
Похожие записи
0
3 дня
IOC

Новая широко распространенная разновидность ClearFake: Расширенная эксплуатация Web3 для доставки вредоносного ПО

security
ClearFake - это вредоносный JavaScript-фреймворк, который используется для доставки вредоносного ПО на скомпрометированные веб-сайты. Вначале фреймворк обманывает пользователей, отображая фальшивую страницу загрузки обновлений веб-браузера.
0
8 дней
IOC

Фишинговая кампания выдает себя за Booking.com и поставляет набор вредоносных программ для кражи учетных данных

phishing
В декабре 2024 года была обнаружена фишинговая кампания, которая представляла себя как популярное онлайн-агентство путешествий Booking.com. Эта кампания, известная как Storm-1865, была нацелена на гостиничный
0
9 дней
IOC

Тенденциях развития Infostealer за февраль 2025 года

Spyware
Для сбора данных и противодействия Infostealer разведывательный центр AhnLab Security использует разные системы, такие как автоматическая система сбора вредоносных программ, медовые точки электронной почты и система анализа C2-информации.
0
10 дней
IOC

Поддельные репозитории GitHub, созданные с помощью искусственного интеллекта, способствуют распространению SmartLoader и LummaStealer

security
Киберпреступники используют поддельные репозитории GitHub для распространения вредоносных программ. Эти репозитории представляют собой легитимные инструменты, такие как игровые читы, взломанное программное