RisePro Stealer IOCs - Part 2

Spyware

RisePro - это недавно выявленный стилер, написанный на C++, который, похоже, обладает схожей функциональностью "Vidar". RisePro нацелен на потенциально конфиденциальную информацию на зараженных машинах и пытается передать ее в виде журналов регистрации.

PrivateLoader - это активная вредоносная программа на рынке загрузчиков, используемая различными угрожающими субъектами для доставки различных полезных нагрузок, в основном для кражи информации. С момента нашего предыдущего расследования мы продолжаем отслеживать эту вредоносную программу, чтобы составить карту ее экосистемы и поставляемых полезных нагрузок. Начиная с этого сообщения на сайте tria.ge, мы узнали знакомую первую полезную нагрузку, а именно PrivateLoader. Однако сброшенный стилер не входил в нашу растущую коллекцию, включающую RedLine или Raccoon.

RisePro Stealer

"RisePro" - это вредоносная программа-кража, которая начала появляться в качестве источника кражи учетных данных журналов на нелегальном магазине журналов Russian Market 13 декабря 2022 года.

Присутствие RisePro на Russian Market может свидетельствовать о его растущей популярности в сообществе угрожающих агентов.

Образцы, выявленные аналитиками Flashpoint, указывают на то, что RisePro мог быть сброшен или загружен сервисом платных загрузчиков вредоносного ПО "PrivateLoader" в прошлом году.

Появление угонщика в качестве полезной нагрузки для сервиса платной установки может свидетельствовать об уверенности угрожающего субъекта в возможностях угонщика.
RisePro, по-видимому, является клоном вредоносной программы-угонщика "Vidar".

Компания Flashpoint впервые обнаружила RisePro 13 декабря 2022 года после того, как аналитики выявили несколько наборов журналов, загруженных на нелегальный подпольный рынок Russian Market, в которых источником был указан "risepro".

Russian Market - это магазин журналов, похожий на другие рынки журналов, такие как Genesis, на котором угрожающие субъекты могут загружать и продавать журналы, собранные у похитителей. На момент написания статьи на Russian Market было представлено более 2 000 логов, предположительно полученных от RisePro.

Целью кражи являются файлы cookie, сохраненные пароли, сохраненные кредитные карты и криптокошельки, а также установленные программы для получения учетных данных.

Веб-браузеры: Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon, Atom.

Браузерные расширения: Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet.

Программное обеспечение: Discord, battle.net, Authy Desktop.

Криптовалютные активы: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin, Reddcoin.

Кража также ищет определенные шаблоны файлов, например, квитанции с информацией о кредитной карте в общих папках (например, Desktop, Download, %TEMP%).

Украденные данные копируются в рабочий каталог вредоносной программы для сжатия в ZIP-файл, эксфильтрируемый во время позднего HTTP-сообщения.

Поведение PrivateLoader и RisePro Stealer частично совпадает. Ниже приведен список конкретных функциональных возможностей, общих для этих двух вредоносных программ:

  • Техника обфускации строк: (операция xor на 128 битах (представляющих целочисленные данные), pxor) с одним и тем же ключом для набора функциональных возможностей;
  • Настройка метода и порта HTTP;
  • HTTP-сообщение, обфусцированное тем же способом (подстановка байтов с одинаковыми значениями замены с последующей операцией XOR);

Сходство, замеченное между этими двумя вредоносными программами, подтверждается результатами работы Bindiff, который показывает более 30% сходства кода.

Indicators of Compromise

IPv4

  • 108.174.198.132
  • 108.174.199.249
  • 108.174.200.11

Domains

  • accesstostofilestorage.com
  • api.my-rise.cc
  • best24-files.com
  • boost-files.com
  • clubfiletyc.com
  • elite-hacks.ru
  • factor1right.com
  • filecryptobur.com
  • filefactory.com
  • files-rate.com
  • filesredproflex.com
  • files-sender.com
  • filessite.com
  • filessoftpc.com
  • filesuk.com
  • fileswhiteprosoft.com
  • first-mirror.com
  • fixgroupfactor.com
  • fvp-files.com
  • gamefilescript.com
  • get-24files.com
  • getfileasap1.com
  • get-files24.com
  • gg-download.com
  • gg-loader.com
  • greatsofteasy.com
  • gs24softeasy.com
  • hero-files.com
  • jojo-files.com
  • m-rise.pro
  • my-rise.cc
  • myrise.pro
  • my-rise.pro
  • neo-files.com
  • pickofiles.com
  • pin-files.com
  • pu-file.com
  • qd-file.com
  • rate-files.com
  • smartfilegen.com
  • socialfiletest.com
  • softs-portal.com
  • speedtestfile.com
  • teleportsoft.com
  • testitsoft.com
  • topfilesstorage.com
  • torggissoft.com
  • uc-files.com
  • uni-files.com
  • upxlead.com
  • vi-files.com
  • vip-space.com
  • webproduct25.com
  • www.filefactory.com
  • xx1-files.com
  • yfilesstorage1.com

URI

  • /set_file.php
  • /get_loaders.php
  • /freezeStats.php
  • /get_grabbers.php
  • /get_marks.php
  • /get_settings.php
  • /pingmap.php

MD5

  • 03366311b4fbe98c0a919b210cf2fa2b
  • 0fc293ca3b73d1166ab149213ff1a240
  • 12db8a9a0fb6baec2f801c640a8a4197
  • 2ecae8d74f6cedfe5f06fd424c3cdc77
  • 319e5fbf83add883095fef277ac8e092
  • 46847232153f38a0326fe0e677a25b9e
  • 5ab956806ec2e729b2c9c260ee3139f2
  • 5df54fe48769bae887eaacb70eb23742
  • 76ef5db3addbe357e753de73e7db258e
  • 95fa2ab112ca196dfe5bdf0c13dd9396
  • 9b98ec558eb6fe1e4055d7535e17e37c
  • a0dfcfb9936669128353663b82fa01b3
  • a5076f73a1cfd10fedf1368a26f9f358
  • ac2eae79e66ddf808900b5e2e261da9b
  • b3fbff1358ce82bc71009634c19ba2bf
  • dbe7d59705f5f919cc6354b81d746584
  • e6b0e14676e5b72a638a142e46f658d9
  • e7cba894426bd9ca2cdc8b6d7ef31aae
  • fd1cabdc949d19b07ca9bfa206ae8560

SHA1

  • 0812df9653b27d994eb5f62e243a63d3ea28b1ec
  • 0a20d79f8de58a088624f964f448846f5fe74afa
  • 1e416f2c40dfc44e60a65df8fd57524bf8e6f5ad
  • 400d3908600b45a8e27f9133cb4950f1e11d5b8d
  • 44afc3c4f62f062a746710440dde3ff7f29b4440
  • 4b3d77895cd313db37793db0e5eb5fa2859c01b2
  • 69a403b81608457ad7106d4215e48e9207367f66
  • 77270de2b41a639e9ca285f9014502a1a5b0b020
  • 77723f0e3c933eff00e0ce1c823aee668d5c3bea
  • 8ae961c6b93f01bb6d7927223041f2d18ed3a2f9
  • 8b2a98870e2a1bd02bf72fc262068d07e620a233
  • afa864c0d0fde050fd0d8694bf895b72d449969b
  • c126c8cc75f6f6ac4b4af125b85c499814053094
  • c3f5b4a2203bf7769963852070f75ae7540fd180
  • cb80fb19380b3dd20032763daa460af4452eebd7
  • cc6284365d1d47460bed78dce4e237b95166a859
  • d1e5ad285bb4506ae77c589682a5bc0a2afdec35
  • f0eea0d1acca29bc82bcfe94b1ccb28d04581579
  • f2303a12b73b6b033dde297ef8bdaf3f4cba6864

SHA256

  • 057b33d69a28fb08733bb710ca22036aaee853791b958e8c4e0c81ae5eed6fcd
  • 28820e270265796566d6651f16651a5fd6c412b9290be07d2829c444d9392a02
  • 2d34e214cbb14456357d2e3381692d188b1004d8ff26280e430c716e6e3730b6
  • 3e38c14c9a27966b7768fa6a61a0bc86b79fdf8f554d232c26d0a13cd8dcdc36
  • 3fea5da905fb8cdb9ef203f85a2b0d37d9cbc8067fbf64d3e1849e84d99de3ee
  • 4107f3166ce3c67f375514ed039d663f197261126724f229e8d3cda2e62728d0
  • 440cec1dd86d03c4e9a29a7b297a30a211f17d48828934a5a7121f1f4b97ef43
  • 478e97b727eb82979087c1d4c2450be18c2d3413ca8c648e7e2a067595ef8511
  • 49fea24c6d2f6340755a22687a6daf63ff2692fe81e6e067b8b2465bc21f49f9
  • 58b1210213ac1cb9c4efe63d43390dfd43bf094408b16033f176e6700ad0fb29
  • 5ee280016fc53c27bbc6d049820cb6dfd33bc4e9e5c618027677793f070eefee
  • 5facf25f6b0d35a79444949b3175fabf3d788cbfbbbbb6551a867e1ddceb00a5
  • 75b395cc766351e6f44f36dcbfdbabc2c4b43ef6fb26f845fb55569a57ebdbdd
  • 8259fed869da390d33cbdb7e2e174ce58a8ebd7f1f99f104b70753eb8679b246
  • 867254ba74add6d8e7484dbdd6d45a4c12acd9e31870d84d9efe202945191286
  • 9564a7f5d7132fe8a97450e0fa4b628b7d802c885f034dc5d094260ff6a76716
  • aa80643e117a896314fe6b1785cb65ab53561f66f5b679ba9f16a05f36e28674
  • ad75f79f985b4ec690fe9280108ae51cec8ef1650581ed4e26497a5e2c2f3ef9
  • ae8becfd65df0625c7e4f2069cb57e6f3c022aff24db51666b4d8b8c6ab15a15
  • b295631063a6186a09a9dfee224bca7af6d4ab1650e9d63cdc325cf3fe1cd3d6
  • C633d7549fb4a77e02fa1e48f8fb3e3b41d8a998778d2e2c024949673dad0ba5
  • c70e26edeacbf1fa052f073959403ee9337a4aed13833553f8a3856fae013c9e
  • d9445561cef089271565e3fe54b8da7aff3ecfe73506762ffcdaedc3615180ba
  • E0579dc3a1e48845194d9cd9415ae492d375fd59cea0e1adf21866afde152f89
  • ffae7d880fcb139d03941e1bc658ce463e179435f438d945c74067fe291beb23
Комментарии: 0