Un nouveau malware caché dans des logiciels piratés peut voler toutes vos données

Le service de téléchargement de logiciels malveillants à la demande (PPI) connu sous le nom de PrivateLoader serait actuellement utilisé pour distribuer un logiciel malveillant de vol d'informations, baptisé RisePro.

La prudence est de mise lors de la visite de sites de crack (logiciels piratés) et des téléchargements qui y sont disponibles. Il n’est pas rare que les pirates cachent parmi les données divers malwares. Au lieu de simplement se retrouver avec une version gratuite d’un logiciel autrement payant, les victimes ont donc droit à un malware en prime.

Un nouvel Infostealer a fait son apparition ces dernières semaines, nommé “RisePro”. Il s’agit d’un voleur de données nouvellement identifié écrit en C++ qui semble posséder des fonctionnalités similaires au malware voleur “Vidar”. Pour rappel, ce dernier se cache désormais dans les fichiers ayant pour extension .CHM, et permet de collecter les données d’une machine avant de les envoyer vers un serveur.

Lire également – Avast, Microsoft Defender : cette faille transforme les antivirus en malware redoutable

Ce nouveau malware est l’un des pires du moment

RisePro cible les informations potentiellement sensibles sur les machines infectées et tente de les exfiltrer sous forme de journaux. Il est capable de voler un large éventail de données à partir de 36 navigateurs Web, y compris les cookies, les mots de passe, les cartes de crédit, ou encore les portefeuilles de cryptomonnaie.

Il semble d’ailleurs être largement utilisé par les pirates, puisqu’il est en vente sur l’application de messagerie Telegram. Le développeur du malware semble même mettre à disposition un canal Telegram qui permet aux acteurs criminels d'interagir avec les systèmes infectés.

Flashpoint a identifié RisePro pour la première fois le 13 décembre 2022, après que les analystes ont identifié plusieurs séries de journaux téléchargés sur le marché clandestin illicite Russian Market, qui indiquaient que leur source était “risepro”.

La société de cybersécurité SEKOIA, qui a publié sa propre analyse de RisePro, a également identifié des chevauchements partiels du code source avec PrivateLoader, un service de téléchargement qui permet à ses abonnés de transmettre des charges utiles malveillantes à des hôtes cibles. Cela englobe le mécanisme de brouillage des chaînes de caractères, la configuration de la méthode et du port HTTP, ainsi que la méthode d'obscurcissement des messages HTTP.