Malware Pencuri Informasi Baru Menginfeksi Aplikasi Bajakan Melalui Situs Palsu
illustrasi
Cyberthreat.id – Peneliti keamanan dari Flashpoint mengungkapkan bahwa malware pencuri informasi baru bernama “RisePro” didistribusikan melalui situs crack palsu yang dioperasikan oleh layanan distribusi malware PrivateLoader pay-per-install (PPI).
Dikutip dari Bleeping Computer, RisePro merupakan malware pencuri informasi yang sebelumnya tidak berdokumen, sekarang didistribusikan melalui crack perangkat lunak palsu dan generator kunci. RisePro dirancang untuk membantu penyerang mencuri kartu kredit, kata sandi, dan dompet kripto korban dari perangkat yang terinfeksi.
“Pelaku ancaman telah mulai menjual ribuan log RisePro (paket data yang dicuri dari perangkat yang terinfeksi) di pasar web gelap Rusia,” ungkap FlashPoint dalam laporan terbarunya.
Sementara itu, Sekoia menemukan kesamaan kode yang luas antara PrivateLoader dan RisePro, yang menunjukkan bahwa platform distribusi malware kemungkinan besar sekarang menyebarkan pencuri informasinya sendiri, baik untuk dirinya sendiri maupun sebagai layanan. Saat ini, RisePro tersedia untuk dibeli melalui Telegram, di mana pengguna juga dapat berinteraksi dengan pengembang dan host yang terinfeksi (bot Telegram).
FlashPoint menjelaskan, RisePro adalah malware C++ yang didasarkan pada malware pencuri kata sandi Vidar, karena menggunakan sistem dependensi DLL tertanam yang sama. Bahkan, beberapa sampel RisePro menyematkan DLL, sementara yang lain, malware mengambilnya dari server C2 melalui permintaan POST.
Dalam melakukan operasinya, pencuri informasi pertama-tama mengambil sidik jari sistem yang disusupi dengan meneliti kunci registri, menulis data yang dicuri ke file teks, mengambil tangkapan layar, menggabungkan semuanya dalam arsip ZIP, dan kemudian mengirimkan file tersebut ke server penyerang.
“RisePro berupaya mencuri berbagai macam data dari aplikasi, browser, dompet crypto, dan ekstensi browser,” kata FlashPoint.
Peneliti menilai, kemungkinan besar malware pencuri informasi ini berkaitan dengan PrivateLoader. PrivateLoader adalah layanan distribusi malware bayar per pemasangan yang disamarkan sebagai crack perangkat lunak, pembuat kunci, dan modifikasi game.
Pelaku ancaman memberikan sampel malware yang ingin mereka distribusikan, kriteria penargetan, dan pembayaran kepada tim PrivateLoader, yang kemudian menggunakan jaringan situs web palsu dan yang diretas untuk mendistribusikan malware.
Layanan ini pertama kali terlihat oleh Intel471 pada Februari 2022, sedangkan pada Mei 2022, Trend Micro mengamati PrivateLoader mendorong trojan akses jarak jauh (RAT) baru bernama 'NetDooka.' Hingga saat ini, PrivateLoader mendistribusikan hampir secara eksklusif RedLine atau Raccoon, dua pencuri informasi populer.
Salah satu skenario yang mungkin terjadi adalah orang yang sama di belakang PrivateLoader mengembangkan RisePro. Hipotesis lain adalah bahwa RisePro adalah evolusi dari PrivateLoader atau kreasi mantan pengembang nakal yang sekarang mempromosikan layanan PPI serupa. Namun, berdasarkan bukti yang terkumpul, Sekoia tidak dapat menentukan hubungan pasti antara kedua proyek tersebut.
