追踪信息窃取者RisePro的网络犯罪踪迹

Newbee123  172天前

image.png

写在前面

这片文章主要描述了作者对于一款叫做RisePro恶意软件的调查分析结果,包括对软件已知信息进行分析、售卖渠道进行统计、使用各种工具对互联网上的恶意软件资产进行手机、开发作者的详细信息等。文章翻译已经过原文作者授权。

 

注:文中提到的使用FOFA进行Risepro资产的收集,现在可以直接通过app="Risepro" 进行查询,其他FOFA已收录的工具已收录至专题中,可以进行查询。


原文地址:https://projetfox.com/2023/11/traque-de-linfrastructure-cybercriminelle-de-linfostealer-risepro/

以下为原文

在进行技术监测的过程中,我们发现了与信息窃取者RisePro相关的IP地址。利用开源情报(OSINT)技术进行的调查使我们能够进行更深入的研究,揭示了与这款恶意软件连接的大部分网络犯罪信息,以及它与按安装付费(Pay Per InstallationPPI)服务EasyLead的关系。

 

本文将介绍使用开源情报识别网络犯罪资产的不同方法。首先,我们将看一下RiseProTG上的情况特别是202212SEKOIA.IO发布的那一篇。然后,我们会研究一下RisePro在黑客论坛上的活跃情况。在此之后,我们将对追踪RisePro的方法和工具进行探讨。以及深度的分析一下PPI提供商EasyLead及其与RisePro的关系。最后,我们将尝试与各个参与者进行关联,尝试得到更多结果

什么是信息窃取者?

信息窃取者是一种用来从系统中收集信息的木马种类。最常见的信息窃取者收集登录信息,如用户名和密码,并通过网络或其他方式将其传输到另一个系统。其他常见的信息窃取者,如键盘记录器,旨在捕获用户输入的敏感信息。
信息窃取者的存在可能会导致严重的后果,如身份盗窃、财务损失、隐私侵犯以及个人和商业数据安全的其他风险。

什么是C2?

C2服务器是威胁行为者用来指挥和管理网络攻击的工具,通过向其恶意软件传输指令,传播恶意程序和脚本等。它们还充当接收器的角色,接收来自目标服务器、设备、网站和表单的数据。在某种程度上,C2就像这些个体进行的恶意操作的神经中枢。
这些C2系统攻击者来说十分方便,他们与目标之间的通信,无论是用来指挥一系列被侵犯的机器网络,还是将被盗数据传输到其最终目的地。目标可以从单个设备变化到单个系统内的数百个设备,甚至数百万个设备。
C2建立并维持连接对于威胁行为者来说是至关重要的一步,因为没有这个连接,他们只能执行部分恶意行动。攻击者需要能够传输命令以控制他们行动的结果。
C2经常利用未受监控和不可靠的通信渠道,如DNS,向目标系统传输指令。如今,这些服务器通常短命,经常驻留在声誉良好的云服务中,并使用自动域生成算法来复杂化其被权威机构和网络安全研究人员检测的过程。

RisePro

RisePro是一种可怕的信息窃取者,主要通过下载器(尤其是PrivateLoader)传播。一旦渗入系统,这种恶意软件能够窃取信用卡详情、密码和个人详细信息等敏感数据,为用户带来严重的安全风险。

这种信息窃取者与另一种名为Vidar的恶意软件有相似之处。与后者一样,RisePro以日志形式收集和提取敏感数据,运行在C++编程语言中。

RisePro背后的行为者被发现通过一个名为PrivateLoader的恶意软件下载器分发它。他们在TG上推广这个恶意服务。

CrowdStrike在其调查中显示,正在追踪名为“HERMIT SPIDER”RisePro的运营者。这个实体被描述为私有加载器(PPI)服务PrivateLoader和信息窃取者RisePro背后的策划者。

此行为者自20215月以来就一直活跃,最初开发并运营PrivateLoader下载器作为PPI服务。HERMIT SPIDER通常使用另一种PPI服务来分发PrivateLoader,但已经设置了自己的加载器来传播RisePro,从而巩固其恶意活动。

202212月,法国公司SEKOIA.IO发布了一份关于RisePro的详细CTI报告,强调了其和PrivateLoader的联系。

RisePro在Telegram上的存在与活动

看来RisePro在Telegram上的存在相当广泛,有几个账户和频道被用于传播各种恶意软件相关的活动。

image.png

image.png

“RISEPROSUPPORT STEALER”频道(https://t[.]me/RisePROstealers)以其超过2300的高关注者数量而十分突出,并且在202321日创建后的几个月内就活跃了起来。这个频道定期提供RisePro开发的最新动态,最后一次活跃是在1115日。

 

查看如“RisePRO”https://t[.]me/RisePROstealer)和“RisePro | News”https://t[.]me/risestealer)等其他频道,发现不同的模式。这些频道是在20237月创建的。“RisePRO”20238月停止发布,而“RisePro | News”则持续发布关于恶意软件开发的信息,最近的一次是在1121日。

 

根据SEKOIA.IO的报告,软件w开发者用来销售RiseProTelegram账户是@RiseProSUPPORThttps://t[.]me/RiseProSUPPORT)。然而,这个账户的个人简介现在将“RisePro | News”频道列为RisePro的主要频道,而@RiseProSUPPORT则被列为购买后支持账户。此外,“RisePRO”频道的帖子中也提到了@RiseProSUPPORT账户。这表明,“RisePRO”“RisePro | News”两个频道,以及@RiseProSUPPORT账户,最可能都属于信息窃取者运营者。

image.png

image.png

至于“RISEPROSUPPORT STEALER”频道,尽管其拥有大量的关注者,但它将所有的购买或支持需求都引导至@GIO_SK账户(https://t[.]me/GIO_SK)。这种引导似乎是一种骗局,旨在欺骗对恶意软件感兴趣的用户。

 

还有一个最后的账户,“Rise Pro”https://t[.]me/RisePro),只有大约六十人关注,但经常在其帖子中提到PrivateLoader。在其一篇帖子中,这个账户展示了一个所谓的‘C2’界面的视频。然而,这个界面并不符合RisePro运营者的其他账户/频道分享的截图。所以,这也似乎是一个骗局,尤其是这个账户正在收取250美元的费用,以换取对一个与RisePro不符的C2的终身访问权。

image.png

经过图片进行反向搜索,结果发现“Rise Pro”频道上的视频实际上对应的是另一个信息窃取者:Aurora的界面。

image.png

让我们回到RisePro。这款恶意软件的运营者使用Telegram来传播有关其代码更新的信息,推广其产品,并为用户提供售后支持。

 

20237月创建Telegram频道以来,RisePro已经经历了12次代码更新。软件已从版本0.2演变为于1123日发布的版本1.1。这些更新带来了几个显著的改进:

  • 改进了信息窃取功能
  • 通过Telegram机器人自动化了使用恶意软件的支付过程
  • 支持不同的外部编码
  • 增加了用于客户端-服务器通信的代理
  • 开发了恶意软件的C#版本
  • 支持了许多新程序,如OutlookTotalCommanderSkypeElementSignalToxOpenVPN
  • 增加了隐藏虚拟网络计算功能
  • 为用户集成了一个SOCKS5代理
  • 增加了一个重置所有收集的日志的按钮
  • 根据收集的日志增加了Telegram通知 

这些变化展示了恶意软件的活跃和持续的开发,突显了RisePro运营者致力于改进和扩展其功能的决心。

黑客论坛上的RisePro

Telegram上的一篇帖子中,RisePro的运营者宣布他在4个特定的论坛上分享了有关这款恶意软件的信息:

  • lXSS
  • lBHF
  • lHackForum
  • lWWHClub

我能够访问其中的两个论坛,并在那里观察到与RisePro相关的活动。

WWHClub

image.png这些多渠道的推广,RisePro在网络犯罪社区中提高了其知名度,吸引了潜在的客户。使用RisePro的费用从7天的130美元,到14天的200美元,高达90天的750美元,为感兴趣的用户提供了不同的定价选项。

image.png

论坛上的一些用户觉得提供的价格相当高,但是RiseHub通过指出质量是需要付出高成本来为自己辩护。

RiseHub对其恶意软件的推广包括其C2的各种屏幕截图。这些图片揭示了一个流畅、整洁且相当高质量的设计,可以与市场上很多软件相媲美。
image.png

image.png

image.png

image.png

image.png

从分享的屏幕截图中可以看出,C2提供了非常全面的功能范围。从很多方面展示了它的丰富功能。这可能包括感染机器的管理,数据收集,恶意软件用户订阅的管理,以及操纵被盗数据的高级功能。这些细节突显了RiseHub用于协调RisePro活动的C2的复杂性。

 

在论坛帖子中,还有趣的要注意的是,对信息窃取者设定严格使用和购买规则。订阅的付款只能通过Telegram进行。更重要的是,如果用户的构建在VirusTotal上被检测到,所有与该用户的合作都将停止,并退还钱款。

 

一个重要的规则明确指出,禁止攻击来自独立国家联盟(CIS),即前苏联国家的个人。RiseHub甚至指出,从技术上讲,使用RisePro对这些国家的计算机进行攻击是不可能的,系统会阻止这种攻击。这些规则在这个地理区域的黑客和恶意软件中很常见。

当然,RiseHub指出,购买后不能退款。

 image.png

从讨论和各种评论来看,很明显,RisePro收到了很多好评。使用过该服务的网络犯罪分子似乎对其功能和效果感到满意。

image.png


image.png最后,还需要注意的是,RiseHub在这个论坛上目前是活跃的,最后一次互动是在1117日。

image.png

HackForum

HackForum论坛上,RiseHub发布了一篇与WWHClub上的帖子类似的帖子。它推广RisePro,分享其C2的相同截图,并展示了软件的价格。在这个论坛上,所有的内容都是英文的,不像WWHClub,那里的交流是用俄语进行的。

image.png我们注意到RiseHub似乎也在这个论坛的讨论线程上活跃,最后一篇帖子的日期是98日。

image.png

RisePro 资产发现

通过结合不同的开源情报(OSINT)方法和工具,借鉴CTI分析师和威胁猎人如BushidoTokenMichael Koczwara的工作,我能够确认一系列活跃的RisePro C2以及一些不活跃的C2。本节将专门解释我在这项研究中使用的各种工具和技术。所有发现的IoC都在本文的最后提供。

Google Dorks

搜索开始于使用的Google Dorks。在这次探索中,很容易看到C2页面的标题通常包含“Log In – RisePro”。然而,在一些C2s上,“Login”被写成一个词。

因此,使用Google Dork非常容易找到RisePro C2s

"Log In — RisePro" OR "Login — RisePro"

这个查询使我能够找到几个IP地址和一个相关的域名。

image.png

而且可以看到,一些C2是活跃可用的。

image.png

Shodan

Shodan是一款专门用于探索和索引连接到互联网的设备的搜索引擎。与扫描网站内容的传统搜索引擎不同,Shodan专注于爬行连接的设备,如服务器、路由器、IP摄像头、家庭自动化系统等。它允许用户进行特定的搜索,根据设备的技术特性找到设备,如它们提供的服务类型、它们的地理位置或它们的接入提供商。

使用Shodan时,我使用了各种方法进行查询,但只得到了一结果。


Censys.io

Censys.io是一个专门从事收集和分析与计算机网络和连接到互联网的设备相关的数据的研究和监控平台。它为用户提供了一个包含有关设备、协议、SSL证书、漏洞和其他与在线基础设施相关的数据的庞大数据库。Censys.io提供了高级搜索功能,允许用户根据特定的标准,如IP地址、开放的服务、使用的证书等,来探索和分类设备。

Censys.io上的初步搜索以使用以下查询为特点:

(services.http.response.html_tags="<title>Log In — RisePro</title>" or services.http.response.html_tags="<title>Login — RisePro</title>")

这次搜索发现了8个来自RiseProC2

image.png通过注意到机器之间的某些相似性,可以通过添加“autonomous_system.name=“AS-MATRIXTELECOM“”来精细化查询。在6台机器中,有5台配置完全相同。所有的机器都在运行Windows,开放了3389808150500端口,并共享相同的自治系统 (AS)

image.png

这些RisePro C2属于同一个恶意行为者是有可能的,可能是RisePro的一个客户,或者是RisePro运营商自己设置的实例,用来为其客户服务。

FOFA.info

FOFA.info是一个专门用于绘制全球网络空间的搜索引擎,自我定位为中国的Shodan竞争者。通过对全球互联网资产的主动检测,它已经识别出了超过100亿的资产。这个庞大的数据库还包括350,000个指纹,能够识别出大量的软件和网络硬件。这些资产的数据可以以多种方式被利用,支持外部呈现和多样的应用,并可以根据IP地址生成分层的概况。

 

FOFA是一个非常强大的工具。为了开始搜索,可以使用类似于前面的查询:

title="Login — RisePro" || title="Log In — RisePro"


多亏了这个查询,总共能够识别出64RisePro C2IP地址。

image.png

FOFA能够检测到几乎所有使用其他工具找到的IP地址。总共,64个中有12C2是活跃的。

 

Ps. 经过我们的分析发现,作者使用的语句还不够全面,经过一起探讨最终锁定了全部特征,并形成了规则语法:

 

app="RisePro"

获取样本分析

通过结合所有这些工具,我们可以追踪到66RisePro C2的实例,包括65IP地址和一个域名。在这66个实例中,只有13个是活跃的,包括12IP地址和1个域名。不幸的是,使用不同的IP地址作为进一步调查的枢纽点是困难的。

 具有域名的C265个中唯一一个有SSL证书和域名的。在探索DNS记录时,一个托管着名为“EasyLead”的网站的有趣的子域名引人注目。

image.pngEasyLead被发现在子域名mail.mediaskollsoft[.]com上。浏览mail.mediaskollsoft[.]com显示了以下页面:

image.png

EasyLead,一项按次安装付费的服务

EasyLead将自己定位为一个用于盈利的软件安装平台。他们声称提供市场上最好的费率以及反应灵敏的支持。该平台以易于使用和融入营销活动为自豪,并目前号称是按次安装付费行业中的佼佼者。
image.png

根据网站的说法,要开始使用EasyLead,你只需在他们的平台上注册并选择你想要推广的软件。接下来,将生成一个唯一的链接,用于与目标受众分享。每次通过此链接安装软件,理论上都会赚取一笔佣金。然后,用户的仪表板上就可以看到性能和收入。

image.png要开始使用EasyLead,网站上说你只需要在他们的平台上注册并选择你想要推广的软件。接下来,就会生成一个独特的链接,用于分享给目标受众。每次通过这个链接安装软件,理论上都可以赚取佣金。然后,用户的仪表板上就可以查看到绩效和收入情况。

image.png

乍一看,这个网站看起来是合法的,具有真正商业的所有特征。然而,需要注意的是,有几个链接和按钮似乎是不起作用的,尤其是那些通向法律通知或使用条款的链接。

 使用查询语句

"EasyLead" && title==" Really easy leads "

FOFA上进行基本搜索,返回了4个结果,其中有1个重复的域名和2IP地址。这两个IP地址位于俄罗斯,而域名则在Cloudflare下面

image.png这些实例中的每一个都托管着EasyLead前端的一份相同的副本。这种一致性让人对EasyLead的合法性产生了怀疑。

image.png

因此,我们确定了四个相同的EasyLead网站实例,这个神秘的PPI(按安装付费)服务:

45.10.52.33

92.53.87.155

mail.mediaskollsoft[.]com

ezlead[.]pro

 

为了进一步调查,我们有兴趣在这些网站上创建一个账户。奇怪的是,只有在一个网站ezlead[.]pro上创建账户才能成功,而在其他网站上,每次尝试都会出现错误。
image.png

接下来的部分将聚焦于Ezlead实例。

Ezlead

在网站上注册后,我在收件箱中收到了一封确认邮件。这封邮件来自“michael.nemchenkov[@]yandex[.]ru”
image.png

一旦连接到网站,就可以访问到几个新的页面:

  • 带有仪表盘的主页
  • 我专用的活动页面
  • 活动统计页面
  • 集成页面
  • 设置页面
  • 显示我账户余额的页面
  • 联系页面
  • FAQ页面

 

该网站的设计简洁而专业,给人以合法的感觉。该平台提供了广泛的功能,每一项功能似乎都经过精心设计以满足用户的需求。导航的简洁性和不同部分的清晰展示增加了其专业外观。总的来说,该网站看起来严肃可靠,结构组织良好,注重细节,以提供最佳的用户体验。

 

探索平台的主要功能,即创建活动,揭示了一个结构化的过程。为了启动创建新的活动,需要指定活动的名称,目标国家,以及要从提议的类别中分发的软件类型,如实用程序,游戏,加密货币,约会,礼物或其他。接下来,需要指定与软件兼容的操作系统。

image.png

image.png

该平台还需要提供关于托管要分发的软件的网站的信息,要求您选择网站类型并定义下载参数。还需要其他详细信息,如网站的平均访问者数量,唯一访问者的百分比,用于网站统计的服务,以及这些统计信息的链接。这种结构化和详细的方法使得可以深度定制活动以满足用户的特定需求。

在这个菜单中,可以看到与我们在活动中的链接相关联的主页设计的图像。这个页面对应于SEKOIA.IO在其报告中发现的PrivateLoader分发网站上的页面。我们可以看到相同的设计,相同的标志和颜色,这正是同一页面设计。

image.png

image.png

在其报告中,SEKOIA.IO指出下载恶意软件的重定向URL经常变化,至少每天一次,并且在受损的WordPress网站上可供下载的有效载荷是PrivateLoader,它会安装一套信息窃取器(RedLineMixLoaderVidar等)。这突显了EasyLead PPI服务和PrivateLoader加载器之间的关联,后者被各种恶意行为者用来传播各种恶意有效载荷,主要是诸如RisePro之类的信息窃取器。在另一份报告中,FLASHPOINT的分析师声称已经通过PrivateLoader服务部署了几个RisePro的样本。

回到分发活动。一旦创建了它,EasyLead要求我们通过在我们网站的根目录中添加一个特定的HTML文件来确认它。同时,统计菜单改变以显示每日数据。

image.png

image.png

image.png

HTML文件的内容并不复杂:它只是一个简单的字符串:

35e457d09aa2099d6aa4e001bb7e793c.html 35e457d09aa2099d6aa4e001bb7e793c

一旦HTML文件已经添加到网站的根目录,并且确认了活动,其状态就会变为审核中。看来需要EasyLead团队的验证,才能启动分发活动。尽管等待了两周,但活动的状态仍未改变。

image.png

深度分析

ezlead[.]pro网站是需要进一步调查的关键元素。第一步是检查网站的WHOIS注册信息,这揭示了一些非常有趣的结果:

 

存款人的组织是LLC “MediaCube”

 

此外,对先前找到的电子邮件地址“michael.nemchenkov[@]yandex[.]ru”进行谷歌搜索以获取更多信息,结果得到一个类似的地址“michael.nemchenkov[@]yandex[.]kz”。这是在Hybrid Analysis进行的恶意软件分析结果中找到的。

在这个分析中,检测到有100/100风险评分的恶意软件通过DNS与域“me ta-zone-1[.]online”联系。WHOIS注册表显示,这个域名已经用电子邮件地址“michael.nemchenkov[@]yandex[.]kz”注册。

image.png

website.informer.com上进一步搜索电子邮件地址,我们得到了更多的结果。我们发现了:

  • 公司LLC “MediaCube”
  • 一个人的名字和姓:Nurlibek Ashabov
  • 一个电话号码:+77785408005
  • 哈萨克斯坦的一个地址:Lenin, 125 Nur-Sultan Akmola 010000 KZ

 

这些信息已经得到了website.informer.com进行的各种WHOIS搜索的证实。因此,我们可以认为它非常可靠。

image.png

与这个电子邮件相关的是七个域名的列表:

 

  • rate-files[.]com
  • files-rate[.]com
  • files-null[.]com
  • gg-download[.]com
  • gg-loader[.]com
  • files-pipe[.]com
  • file-broker[.]com

 

这四个域名在SEKOIA.IO关于RisePro的报告中被提及。他们与从与RisePro关联的样本中提取的两个域共享相同的Whois记录。

 

gg-download[.]com

gg-loader[.]com

files-rate[.]com

rate-files[.]com

 

这个发现加强了EasyLeadRisePro之间建立的联系。

回到Ezlead[.]pro,在联系部分,列出了三个人。每个人都应该有TelegramSkype的联系方式。这些人中没有一个人有Skype的联系方式,但只有名叫“Eric Janovich”的第一个人有一个用户名为“@king420S”Telegram帐户。

image.png

image.png

当检查SEKOIA.IO报告中提到的域名的WHOIS信息时,似乎存在一个有趣的关联。例如,对于域“best24-files[.]com”WHOIS揭示了:

 

注册人姓名:Nikolai Petrov

注册人电话:+77785408005

注册人电子邮件:king420.lazy[@]gmail[.]com

 

出现了一个匹配:相关的电话号码与前面提到的Nurlibek Ashabov的电话号码匹配,所有者的电子邮件地址显示的用户名是“King420”

 

这些不同实体之间似乎存在着密切的联系。使用website.informer上的工具分析与Nikolai Petrov关联的电子邮件地址,揭示了17个关联的域,其中10个出现在上面提到的SEKOIA.IO报告中。此外,Nikolai Petrov的个人资料揭示了一个额外的域“jojo-files[.]com”,也在SEKOIA.IO报告中被提及。总的来说,有18个域与Nikolai Petrov有关,其中11个与RisePro信息窃取者有关。这种关联加强了这些元素之间存在联系的想法。(所有的IoCs都在文章的末尾提供)

 

的确,每一个发现都加强了EasyLeadRisePro之间的相关性。这些实体之间的线索和联系似乎越来越密切。


使用Epieos工具,确认了与Nikolai Petrov关联的电子邮件地址,king420.lazy[@]gmail[.]com,和Ezlead[.]pro上提到的Telegram帐户之间的关联,该帐户被归属于一个名叫“Eric Janovich”的人。Epieos揭示了Gmail地址的个人资料图片与问题的Telegram帐户相同。

image.png

对EasyLead和RisePro之间联系的深入探索揭示了这些参与者之间的复杂互联。从域名分析到与各种平台相关的个人资料的调查,都加强了这些实体之间密切关系的想法。交叉引用的数据,如电子邮件地址,电话号码和消息传递个人资料,确认了个人和服务之间的联系,这些个人和服务显然参与到信息窃取者的分发和变现中。

在不同平台上发现的共享个人资料,WHOIS信息中的匹配以及来自不同调查工具的数据之间的相似性,帮助描绘了一个总体画面,这表明这些参与者之间的协调或合作。

这些元素加强了EasyLead PPI服务、RisePro信息窃取者及其操作者之间联系的假设。

与各种参与者取得联系

为了获取更多信息,我们决定联系上述已确定的各种参与者。目标是理解获取RisePro信息窃取者的过程,并确定它和EasyLead PPI之间的联系。

联系RisePro的操作者

RisePro操作者的对话开始于假装成一个潜在的客户,希望获取一个信息窃取者,通过在论坛上的发布内容发现了RisePro。我开始询问关于RisePro的更多细节。

image.png第一条消息是在格林尼治标准时间10:01发送的,我们不得不等待超过8小时,才在格林尼治标准时间18:51收到第一条回复:一系列没有附加文字的C2截图。

image.pngimage.pngimage.pngimage.pngimage.pngimage.pngimage.pngimage.png收到的屏幕截图与之前在论坛上发布的截图不同。它们展示了各种功能。界面上新增了一个受害者地图,还有一个选项可以为信息窃取者添加新的规则,以针对特定文件。这表明RisePro在持续发展,操作者不断更新和添加功能。

 

当询问关于获取C2的过程时,RisePro的操作者解释说,购买后,用户需要在自己的服务器上配置C2。然而,他们也提供这项服务,但需要收费,费用根据所选的订阅服务而变化。关于自我安装和配置,他们并没有明确说明是否提供用户支持或者这个阶段的文档。

 

这可能解释了在调查过程中发现的各种C2之间的差异。至于那些配置几乎相同的多个C2,可能是由RisePro操作者设置的服务器,正如文章之前所提到的。

image.png

接下来,我试图确定RisePro是否有任何合作伙伴,或者操作者推荐的额外服务来方便恶意软件的分发。我提到了PrivateLoader,因为我在论坛上听说过它,想看看是否有任何建议。他开始询问关于需求的具体问题,比如目标区域或服务器类型,但他打断了我,让我首先专注于购买这个信息窃取者。

我肯定地回答了,但继续追问关于EasyLead的信息。我提到有些人推荐使用EasyLead来分发恶意软件,询问了他对它们可靠性的看法。我解释说我正在比较不同的信息窃取者以做出最好的选择,而辅助服务将影响我的决定。他回答说他从未听说过EasyLead,然后询问我计划为他的信息窃取者选择哪种订阅。

image.png

image.png

为了保持作为潜在客户的假象,我提到我打算订阅7天以测试这个信息窃取者。然后他问我打算使用哪种货币进行支付,我回答说比特币或以太币对我都可以。他还询问我是否打算选择让他代我安装C2的额外选项。我愿意同意,他告诉我,包括安装和配置在内,1周的总费用将是200美元。

因此,我们现在知道,对于7天的订阅,RisePro会额外收取70美元来代我们设置C2。这个价格可能在订阅信息窃取者的时间更长时会提供更多的优势。 

image.png

他给了我支付比特币的地址bc1qh55m8erwupc60j73zmeuumhk43c9anwe3qllnq »

image.png

感谢这个钱包地址,我们发现RisePro至少生成了10,000美元。与这个地址关联的有超过17个进账交易。

King420的接触

我们试图联系EasyLeadKing420,以探索这个PPI服务和RisePro之间的链接。在这次互动中,我扮演了一个站点用户的角色,寻求关于其重新激活分发活动的信息。当时,ezlead[.]pro站点已经无法使用几天了。
image.png在我们的交流中,King420回复总是需要很长时间。从他的第一次回复中,他似乎对我对平台的了解感到惊讶。我试图重新开始对话,以获得恢复网站活动的日期。几天没有回复后,他给我估计了2天的时间。就在这个时候,我意识到我需要更直接一些才能获得信息。

我问他EasyLead是否支持所有类型的软件,他回答的是肯定的。然后我提到了我打算获取RisePro,并问他他们的服务是否支持这种类型的软件,并指出有些人曾向我推荐他们的服务。他使用另一个人的化名回复,然后确认这个人,Dozkey,确实与EasyLead有关。

image.png

image.png


Dozkey的账户上,可以看到一个名为“InstallsKey”https://t[.]me/INSTALLKEY)的Telegram频道的链接。这个Telegram频道作为一个销售点,用于在全球范围内的机器上安装。

 

例如,在黑色星期五,大量安装的价格是每次安装0.55美元,如100,000次安装为55006000美元,而小量的安装,如10,000次安装,价格为650700美元。


根据20236月的一条推文,SEKOIA.IOCTI分析师Crep1x声称,Pay-Per-Install服务“InstallsKey”使用了PrivateLoader,这可能是PPI服务“Ruzki/zhigalsz”的一个重新设计。

image.png因此,我们可以假设EasyLead只是PPI InstallsKey服务的一个幌子,而InstallsKey本身可能就是PPI服务Ruzki/zhigalsz的一个新品牌。

image.png在探索InstallsKeyTelegram频道时,发现了一个与RisePro的合作公告,日期为2023718日。公告中指出,每购买一次RisePro,只要购买的安装量超过5000次,网络犯罪分子就会获得20%的免费安装奖励。

结论

image.png

RisePro及其运营商仍在活动,这个信息窃取器随着每次更新的新功能的不断增加,继续演变。更重要的是,RiseHub在各种论坛上仍然活跃,其信息窃取器似乎吸引了越来越多的新用户。

 

在他们202212月的报告中,SEKOIA.IO的分析师们推测,PrivateLoader只是简单地演化了,另一个未被识别的PPI提供商将通过PrivateLoader提供RisePro的安装。通过检查本文中提到的链接,可以推测这个未被识别的PPI提供商可能是EasyLead,这可能是InstallsKey PPI服务的一个幌子。与RisePro分发相关的域名之间的关联,以及与EasyLead分发活动相关的主页的设计与PrivateLoader分发页面的设计相对应,都增强了这一假设。更重要的是,当联系到King420时获取的各种证据显示了两个网络犯罪组织之间不可争辩的联系。

 

尽管已经建立了联系,但仍有一些灰色地带,特别是关于EasyLeadRisePro运营商之间的精确联系。然而,我们可以确信,该行业的各种CTI分析师将继续监控这一威胁以获取更多知识,并且不会犹豫提供关于这些威胁行为者的新信息。

– Alb310

 

IoCs

RisePro C2

37.27.22.139

45.15.156.137

91.103.253.146

109.107.182.9

185.216.70.222

185.216.70.233

185.216.70.238

194.49.94.41

194.169.175.113

194.169.175.122

194.169.175.123

194.169.175.128

mediaskollsoft[.]com

 

5.42.79.238

5.161.143.161

38.47.220.202

43.128.18.131

45.11.91.14

45.15.156.175

45.15.159.248

45.74.19.132

45.81.39.247

45.135.232.54

79.110.49.141

79.110.62.11

79.137.202.91

85.209.11.247

91.103.253.151

94.142.138.35

94.142.138.44

94.142.138.116

94.142.138.143

94.228.168.51

95.214.25.231

95.214.25.235

95.214.25.236

95.214.25.240

141.98.10.48

152.89.198.49

167.235.130.175

168.100.10.122

171.22.28.214

171.22.28.220

171.22.28.224

171.22.28.229

171.22.28.242

171.22.28.243

185.173.38.198

193.31.118.35

193.56.255.166

194.87.71.215

194.169.175.117

194.169.175.124

194.169.175.125

194.169.175.133

194.169.175.136

194.169.175.144

194.169.175.220

194.169.175.233

194.169.175.239

194.169.175.249

198.23.174.185

208.64.33.102

213.252.245.28

37.27.22.139

5.42.79.238

 

EasyLead

45.10.52.33

92.53.87.155

ezlead[.]pro

mail.mediaskollsoft[.]com

 

Shared domains related to Nurlibek Ashabov

file-broker[.]com

files-null[.]com

files-pipe[.]com

files-rate[.]com

gg-download[.]com

gg-loader[.]com

rate-files[.]com

 

Shared domains related to Nikolai Petrov

best24-files[.]com

bit-files[.]com

fap-files[.]com

first-mirror[.]com

get-files24[.]com

hero-files[.]com

jojo-files[.]com

pickofiles[.]com

pin-files[.]com

pu-file[.]com

qd-file[.]com

softs-portal[.]com

softsloader[.]com

uc-files[.]com

vi-files[.]com

vip-softs[.]com

vip-space[.]com

xx1-files[.]com

 

E-mail addresses

michael.nemchenkov[@]yandex.kz

michael.nemchenkov[@]yandex.ru

king420.lazy[@]gmail.com

jojo-files.com[@]privacy.above.com

 

Bitcoin wallets

bc1qh55m8erwupc60j73zmeuumhk43c9anwe3qllnq

最新评论

昵称
邮箱
提交评论