Une nouvelle version de Vidar Infostealer, appelée RisePro, infecte les pirates de logiciels via de faux sites de crack.
Soyez prudent lorsque vous visitez des sites de crack et que vous les téléchargez. Par exemple, les cybercriminels équipent les craqueurs de logiciels et les générateurs de clés du nouveau malware, RisePro. Ainsi, au lieu d’obtenir une version gratuite tant attendue d’un programme autrement payant, les pirates de logiciels obtiennent gratuitement un voleur d’informations. Bleeping Computer en a parlé.
Les analystes du fournisseur de services de sécurité Flashpoint et Sekoia ont traqué RisePro. L’équipe Flashpoint a découvert le voleur pour la première fois le 13 décembre de cette année sur un marché de la cybercriminalité appelé le marché russe.
Les packages de données RisePro se retrouvent sur les marchés darknet à vendre
Sur ce marché et sur d’autres marchés russes du darknet, les cybercriminels vendent déjà des milliers de paquets de données volés sur des appareils infectés, qu’ils ont exfiltrés avec l’aide de voleurs. Au moment de la rédaction du seul article Flashpoint, Russian Market a publié plus de 2 000 journaux de ce type prétendant provenir de RisePro.
RisePro est écrit dans le langage de programmation C++. Selon Flashpoint, le logiciel malveillant semble être basé sur le voleur Vidar, car il « utilise le même système de dépendances DLL embarquées ». Un fork d’Arkei Stealer, Vidar est connu pour télécharger une variété de paramètres de configuration à partir de son serveur de commande et de contrôle (C&C).
RisePro collecte des informations potentiellement sensibles sur les ordinateurs compromis, puis tente de les exfiltrer sous forme de journaux. Il aide les attaquants à voler les détails de la carte de crédit, les mots de passe et les portefeuilles cryptographiques de leurs victimes.
RisePro tente de voler une variété de ces données à partir d’applications, de navigateurs, de portefeuilles cryptographiques et d’extensions de navigateur. De plus, RisePro peut analyser les dossiers du système de fichiers à la recherche de données intéressantes telles que des reçus avec des informations de carte de crédit.
Le voleur d’informations exécute d’abord les empreintes digitales sur le système compromis. Il examine la clé d’enregistrement, écrit les données volées dans un fichier texte et prend une capture d’écran. Ensuite, il regroupe le tout dans une archive ZIP et envoie enfin le fichier au serveur de l’attaquant.
Selon Bleeping Computer, RisePro est actuellement disponible via Telegram. Les utilisateurs pourraient également interagir avec le développeur et un bot Telegram. Le voleur d’informations récemment découvert RisePro est livré via un service de téléchargement de logiciels malveillants payé par installation appelé PrivateLoader.