12-05-2025, 05:11 PM
Nombre:
RisePro Stealer
Categoría:
Infostealer (MaaS)
Fecha de descubrimiento:
Finales de 2022
Comportamiento (lo que hace y archivos que infecta):
Ejemplo de muestra pública (RisePro Stealer):
Mitigación con GetOverX Shield v3.0.2.0 o superior:
RisePro Stealer
Categoría:
Infostealer (MaaS)
Fecha de descubrimiento:
Finales de 2022
Comportamiento (lo que hace y archivos que infecta):
- Infostealer multifuncional vendido como servicio, con fuerte actividad desde 2023–2024.
- Roba credenciales de navegadores, wallets, clientes de mensajería y datos del sistema.
- Ha sido usado en campañas que distribuyen cracks falsos y utilidades “premium” gratuitas, incluyendo campañas dirigidas a desarrolladores (ej. “gitgub” en GitHub).
- Instaladores (.MSI o .EXE) copian el payload a rutas de usuario y añaden claves en
o tareas programadas.Code:Run
- Emplea cifrado y ofuscación en la comunicación con C2.
Ejemplo de muestra pública (RisePro Stealer):
Code:
8bfa18179880147b29fd76adbba9c2818d5ba600ef22f17a5fcb9897287c4d34- Antivirus:
- Analizar de forma rígida cualquier instalador de herramientas de desarrollo o utilidades descargadas de páginas no oficiales.
- Cuarentenar binarios que muestren comportamiento de enumeración de credenciales o wallets justo tras su ejecución.
- Analizar de forma rígida cualquier instalador de herramientas de desarrollo o utilidades descargadas de páginas no oficiales.
- Firewall:
- Monitorizar conexiones a servicios de mensajería cifrada o canales ocultos utilizados por campañas de RisePro (por ejemplo, Telegram vía APIs no estándar).
- Bloquear tráfico saliente sospechoso que aparezca inmediatamente después de ejecutar un instalador reciente.
- Monitorizar conexiones a servicios de mensajería cifrada o canales ocultos utilizados por campañas de RisePro (por ejemplo, Telegram vía APIs no estándar).
- HIPS/EDR:
- Detectar patrones de robo de credenciales (acceso simultáneo a múltiples bases de datos de navegadores).
- Configurar respuesta automática para matar procesos y bloquear hashes cuando se detecte este patrón.
- Detectar patrones de robo de credenciales (acceso simultáneo a múltiples bases de datos de navegadores).
- Sandbox:
- Probar “instaladores premium gratis” o herramientas administrativas en Sandbox antes de su despliegue.
- Analizar si el instalador descarga payloads adicionales desde dominios relacionados con campañas conocidas de RisePro.
- Probar “instaladores premium gratis” o herramientas administrativas en Sandbox antes de su despliegue.
- Medidas posteriores al incidente:
- Cambiar contraseñas, regenerar claves API y revisar repositorios / cuentas de desarrollo afectados.
- Auditar accesos a GitHub, GitLab o repositorios corporativos para detectar clonaciones sospechosas.
- Cambiar contraseñas, regenerar claves API y revisar repositorios / cuentas de desarrollo afectados.