PrivateLoader PPI Service Found Distributing Info-Stealing RisePro Malware
2022/12/26 TheHackerNews — PrivateLoader として知られる Pay-Per-Install (PPI) マルウェア・ダウンローダー・サービスが、既知の情報搾取マルウェア RisePro の配布に使用されていることが判明した。2022年12月13日に Flashpoint は、Russian Market と呼ばれる不正なサイバー犯罪マーケットにおいて、このマルウェアを用いて流出した複数のログセットを検出し、新たな窃盗グループを発見した。
すでに文書化されている C++ ベースのマルウェア RisePro は、Vidar stealer という情報窃取マルウェアと、類似点があると言われている。また、2018年に出現した Arkei というスティーラーの分派であるともされている。
先週の記事において Flashpoint は、「Pay-Per-Install サービスのペイロードとしてスティーラーが登場するということは、その能力に対する脅威アクターの自信を示しているのかもしれない」と指摘している。
サイバーセキュリティ企業である SEKOIA は、 RisePro に対する独自の分析の結果として、PrivateLoader のソースコードとの部分的な重複を発見した。この重複部分に関しては、文字列スクランブル・メカニズム/HTTP メソッドとポート設定/HTTP メッセージ難読化メソッドなどが含まれる。
PrivateLoader は、その名の通り、悪意のペイロードをターゲット・ホストに配信するためのダウンロード・サービスである。
PrivateLoader はデコイ・サイトを用いて、また、検索結果に大きく表示される悪意の WordPress 上の海賊版ソフトウェアを装うことで、これまでに Vidar Stealer/RedLine Stealer/Amadey/DanaBot/NetDooka などを配信してきた。
RisePro は、36種類もの Web ブラウザから、Cookie/パスワード/クレジットカード/暗号ウォレットなどのデータを窃取できるという点で、他のスティーラーと何ら変わりはない。また、関心のあるファイルを収集し、さらなるペイロードのロードも可能だ。
このマルウェアは Telegram 上で販売されており、また、開発者の Telegram チャンネルも公開されている。このチャンネルを介して、窃盗犯が作成/侵入に成功した後にリモート・サーバに送信するボット ID を提供することで、感染させたシステムへの脅威アクターの侵入が可能になる。
また、このマルウェアのインフラの一部として、my-rise[.]cc というドメインでホストされている管理パネルがある。そこから、盗み出したデータログにアクセスできるが、有効な認証情報でアカウントにサインインした後でなければ、アクセスすることはできない。
PrivateLoader の背後にいる一連の脅威アクターにより、RisePro が作成されたのかどうか、また、この PPIサービスには RisePro だけが独占的にバンドルされているのかどうかは、現在のところ明らかではない。
SEKOIA は、「現時点においても PrivateLoader は活動中であり、また、一連の新たな機能を備えている。Stealer と PrivateLoader の類似点は見過ごせないものであり、脅威アクターの拡大について、さらなる洞察をもたらしてくれる」と述べている。
PPI と InfoStealer がセットで提供されるという、新たなサイバー攻撃の戦略が登場したのかもしれません。PrivateLoader に関しては、5月6日の「ハッカー御用達の PrivateLoader 課金サービス:高度な NetDooka バックドアが展開されている」で紹介しています。そこでは、「PrivateLoader という マルウェア・サービスが、NetDooka という極めて高度なフレームワークを配布し、攻撃者が感染させたデバイスを完全にコントロールしている状況が発見された。技術回避を特徴とする PrivateLoader は、C++ 言語で書かれたダウンローダー型マルウェアである」 と解説されています。
IoT OT Security News 
You must be logged in to post a comment.