risepro - RunkIntel

# RisePro > Tipo: **infostealer** - [CISA Alert AA24-038A](https://www.cisa.gov/news-events/cybersecurity-advisories) > [!warning] Crescimento Explosivo em 2024 > RisePro passou de 1,4% para 22,45% de todas as infeccoes por infostealer em 2024 - um crescimento de 16x em um ano. Distribuido principalmente via PrivateLoader (servico PPI), o RisePro e técnicamente similar ao [[vidar-stealer|Vidar]] com melhorias em escala e evasão, e tornou-se um dos stealers mais frequentemente detectados em vazamentos de credenciais corporativas. ## Visão Geral [[risepro|RisePro]] e um infostealer surgido em dezembro de 2022, técnicamente derivado ou fortemente inspirado no [[vidar-stealer|Vidar]] Stealer - compartilhando estrutura de código C++, o uso de bibliotecas legitimas como Telegram como C2, e o modelo de coleta em massa de credenciais. O malware foi distribuido inicialmente via [[privateloader|PrivateLoader]], um servico de Pay-Per-Install (PPI) no ecossistema de cibercrime russo, que o propagou em campanhas de malvertising e cracks de software pirata. O crescimento do RisePro em 2024 foi notavel: analistas documentaram uma expansao de participacao de mercado de 1,4% para 22,45% dentro do ecossistema de infostealers - tornando-o o segundo ou terceiro stealer mais ativo em volume de infeccoes globalmente. Esse crescimento reflete tanto a eficiencia de sua distribuição via PrivateLoader quanto a qualidade dos dados capturados, que sao vendidos em forums como o **Russian Market** e telegram channels de "logs". Técnicamente, o RisePro suporta coleta de credenciais de **75+ browsers**, dados de **carteiras de criptomoedas**, arquivos de interesse, e screenshots. A comunicação C2 usa o protocolo TCP direto (diferente da maioria dos stealers que usam HTTP), com logs enviados em formato ZIP para o servidor do operador. **Plataformas:** Windows ## Como Funciona 1. **Entrega:** Distribuido via [[privateloader|PrivateLoader]] em downloads de software pirata, geradores de chave (keygens), cracks de jogos e ferramentas "gratis" 2. **Reconhecimento:** Coleta dados do sistema ([[t1082-system-information-discovery|T1082]]), enumera software de segurança ([[t1518-001-security-software-discovery|T1518.001]]) e verifica localidade ([[t1614-system-location-discovery|T1614]]) - geofencing anti-CIS 3. **Coleta de browsers:** Extrai credenciais salvas, cookies, historico e dados de autopreenchimento de 75+ browsers Chromium e Firefox ([[t1555-003-credentials-from-web-browsers|T1555.003]], [[t1539-steal-web-session-cookie|T1539]]) 4. **Crypto wallets:** Coleta seeds, private keys e dados de extensoes de carteiras (MetaMask, Exodus, Atomic, Trust Wallet, etc.) 5. **Coleta de arquivos:** Busca arquivos com extensoes de interesse (.txt, .doc, .docx, .pdf, .wallet, .key) ([[t1083-file-and-directory-discovery|T1083]]) 6. **Screenshot:** Captura tela do sistema ([[t1113-screen-capture|T1113]]) 7. **Empacotamento:** Compacta todos os dados coletados em arquivo ZIP com estrutura padrao de "log" 8. **Exfiltração TCP:** Envia logs via protocolo TCP direto ([[t1041-exfiltration-over-c2-channel|T1041]]) para servidor do operador (diferente de HTTP/HTTPS usual) ```mermaid graph TB A["PrivateLoader PPI Crack / Keygen / Pirata"] --> B["RisePro Dropper Execução inicial"] B --> C["Fingerprinting T1082 + T1518 + T1614"] C --> D{"Geofencing CIS Sistema em russo?"} D --> |"Nao CIS"| E["Browser harvest T1555.003 - 75+ browsers"] E --> F["Cookie theft T1539 - Sessoes ativas"] F --> G["Crypto wallets Seeds e private keys"] G --> H["Coleta de arquivos T1083 - Extensoes config"] H --> I["Screenshot T1113"] I --> J["Empacota em ZIP Formato log padrao"] J --> K["Exfiltração TCP T1041 - Protocolo direto"] K --> L["Logs vendidos Russian Market / Telegram"] ``` ## Timeline de Eventos ```mermaid timeline title RisePro - Crescimento Explosivo 2022-dez : Primeiras amostras identificadas : Distribuição via PrivateLoader 2023 : Crescimento gradual de adocao : Participacao 1.4% do mercado de stealers 2024-ján : Aceleracao massiva de campanhas : Distribuição em cracks de jogos AAA 2024 : Participacao dispara para 22.45% : Segundo stealer mais ativo por volume : Logs vendidos regularmente no Russian Market 2025 : Continua crescendo com novas variantes : Adocao por multiplos grupos independentes ``` ## Técnicas Utilizadas | Técnica | Descrição | |---------|-----------| | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Credenciais de 75+ browsers Chromium/Firefox | | [[t1539-steal-web-session-cookie\|T1539]] | Cookies de sessao de todas as contas ativas | | [[t1082-system-information-discovery\|T1082]] | Fingerprinting completo do sistema comprometido | | [[t1005-data-from-local-system\|T1005]] | Coleta dados locais - carteiras, arquivos, apps | | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração via TCP direto (nao HTTP) | | [[t1083-file-and-directory-discovery\|T1083]] | Busca arquivos por extensao configuravel | | [[t1614-system-location-discovery\|T1614]] | Geofencing para evitar sistemas CIS | | [[t1518-001-security-software-discovery\|T1518.001]] | Enumera AV e ferramentas de segurança | | [[t1027-obfuscated-files-or-information\|T1027]] | Código e strings ofuscados | | [[t1113-screen-capture\|T1113]] | Screenshot no momento da execução | ## Grupos que Usam Vendido como stealer standalone - qualquer operador pode comprar logs no Russian Market ou adquirir acesso direto. Distribuido principalmente via PrivateLoader PPI, que alimenta dezenas de campanhas simultaneas de diferentes compradores. ## Impacto no Brasil e LATAM O vetor de distribuição primario do RisePro - software pirata e cracks de jogos - e altamente relevante para o Brasil, onde o consumo de software pirata permanece significativo. O Brasil e historicamente um dos maiores consumidores de jogos e software crackeados da América Latina, tornando-o um alvo natural para campanhas do PrivateLoader que distribuem RisePro. Os logs capturados pelo RisePro sao vendidos no Russian Market por valores entre $1-$50 por "log" (um conjunto de dados de uma vitima). Credenciais de contas bancarias e corretoras brasileiras, contas de e-commerce e sessoes de redes sociais sao particularmente valorizadas e podem ser usadas para fraudes diretas ou como ponto de acesso a redes corporativas. > [!danger] Vetor: Software Pirata > Qualquer organização com politica permissiva sobre software nao-licenciado em endpoints corporativos esta criando um vetor direto para infecção por RisePro e stealers similares. Software pirata e crack de jogos sao os principais vetores de distribuição. ## Detecção - Monitorar acesso aos arquivos SQLite do Chrome (`Login Data`, `Cookies`, `Web Data`) por processos nao-browser - Alertar para conexoes TCP de saida para IPs externos em portas altas (3000-9999) por processos suspeitos - Detectar criação de arquivo ZIP grande por processos nao-usuario em diretorios temporarios - Implementar politica de aplicativos permitidos (allowlisting) para prevenir execução de software nao-autorizado - Usar DNS filtering para bloquear dominios de download de cracks e warez - Regras de detecção: consultar [[m1038-execution-prevention|M1038 - Prevenção de Execução]] e [[m1017-user-training|M1017 - Treinamento de Usuarios]] ## Referências - [SpyCloud - Infostealer Market 2024 Report](https://spycloud.com/blog/infostealer-malware-trends/) - [Group-IB - Infostealer Trends Annual Report 2024](https://www.group-ib.com/resources/research-hub/) - [ANY.RUN - RisePro Malware Trends](https://any.run/malware-trends/risepro) - [Cyfirma - RisePro Stealer Analysis](https://www.cyfirma.com/research/risepro-stealer/) - [SEKOIA.IO - RisePro Infostealer Profile](https://blog.sekoia.io/risepro-stealer-similar-to-vidar-distributed-by-privateloader/)