RiseProの新しい攻撃キャンペーン

RiseProはインフォスティーラー型マルウェアです。
これは新しいマルウェアではないのですが、新しい攻撃キャンペーンで、これまでとは異なる形で展開されていました。
どのような動きだったのでしょうか。

• 無料で利用できる
  クラックされた有償のソフトウェアを無料で入手できるということの謳われているリポジトリが多く作られました。
  作られていた場所はGithubでした。
  この事象の判明した際には、少なくとも13個のリポジトリが同じ形式で構成された状態で発見されました。
  そして、内容にクラックしたソフトウェアのダウンロードへのリンクを含むのですが、そのリンクはどれも同じものでした。

   

• 1段目のインストーラーファイル
  ファイルサイズは699MBでした。
  クラックしたソフトウェアを配布しようというのですから、ある程度の大きさになっても怪しさが増えることはないかもしれません。
  そして、セキュリティ研究者やマルウェア分析者がよく利用しているIDAやResourceHackerなどのツールが利用できないようになっていました。
  サイズが大きすぎるのです。
  この大きなファイルは圧縮されても大きいままのサイズを保つことができるように作られていましたが、内容は圧縮しても小さくなりすぎない工夫がされた意味のないデータが多く含まれていました。
  意味のない部分を削除した後のサイズは、なんと3.43MBでした。

   

• 2段目の内容
  大きなファイルから出てきたものは、難読化が実施されたローダーでした。
  .NETファイルとして作られています。
  このローダーは動作を開始するとC2に接続し、環境で動作しているプログラムにマルウェアを注入しました。

   

• 注入されたRisePro
  ローダーが注入したペイロードはRiseProでした。
  RiseProはインフォスティーラーです。
  2024年3月13日時点でこのRiseProは1.6というバージョンが最新のものなのですが、この攻撃キャンペーンではこの最新の1.6が展開されるようになっていました。
  RiseProは感染したシステムからパスワード情報などの機密データを収集します。
  そして、このマルウェアは、収集したデータを2つのTelegramチャネルに流出させます。

クラック版ソフトウェアを入手しようとしたら自分のパスワード情報を持っていかれてしまった、というお話でした。

参考記事（外部リンク）：RisePro stealer targets Github users in “gitgub” campaign
www.gdatasoftware.com/blog/2024/03/37885-risepro-stealer-campaign-github