Tym razem nie chodzi o zmiany w podatkach. Racoon Stealer poluje na Waszą kryptowalutę.

Raccoon Stealer doczekał się właśnie od swojego programisty nowej wersji i jeszcze lepiej nadaje się do kradzieży kryptowaluty wraz z informacjami finansowymi.

Nieszczęścia chodzą parami a czasem czwórami

We wtorek firma Sophos opublikowała wyniki nowego badania skupiającego się na postrzeganiu kradzieży jako usługi. Stealer-as-a-service to określenie na narzędzie, które można wykorzystać jako dodatkową pomoc w kradzieży danych i przychodów osób trzecch.

W nowej kampanii śledzonej przez zespół Sophosa złośliwe oprogramowanie rozprzestrzeniało się wcale nie za pośrednictwem wiadomości spamowych, które stanowią zazwyczaj początkowy wektor ataków prowadzonych z wykorzystaniem Raccoon Stealera. Tym razem cyberprzestępcy użyli dropperów podszywających się pod instalatory pirackiego (scrackowanego) oprogramowania.

Próbki ataku uzyskane przez Sophos ujawniły, że Raccoon Stealer jest dołączany do złośliwego oprogramowania, w tym złośliwych rozszerzeń przeglądarki (koparek kryptowalut), oprogramowania ransomware Djvu/Stop czy botów do oszustw na kliknięciach, których celem są sesje YouTube. Jednym słowem: doborowe towarzystwo.

Skopiowane = utracone

Raccoon Stealer jest w stanie monitorować i zbierać dane uwierzytelniające konta, pliki cookie, teksty „autouzupełniania” witryny oraz informacje finansowe, które mogą być przechowywane na zainfekowanej maszynie. Jednak ulepszona wersja tego programu ma również „clipper” do kradzieży wycelowanej w portfele kryptowalutowe. Portfele, a w szczególności ich dane uwierzytelniające, są bowiem celem wyspecjalizowanego narzędzia QuilClipper. Zresztą w niebezpieczeństwie znalazły się także dane transakcyjne zapisywane w związku z korzystaniem z platformy Steam.

QuilClipper kradnie kryptowaluty i transakcje Steam, stale monitorując schowek systemowy zainfekowanych urządzeń z systemem Windows, wypatrując adresów portfeli kryptowalut i ofert handlowych Steam. Narzędzie przepuszcza zawartość schowka przez macierz wyrażeń regularnych w celu ich identyfikacji.

Złodzieje działają za pośrednictwem opartego na Torze serwera dowodzenia i kontroli (C2), który obsługuje eksfiltrację danych i zarządzanie ofiarami. Każdy plik wykonywalny Raccoona jest powiązany z podpisem specyficznym dla każdego klienta.

Jeśli próbka ich złośliwego oprogramowania pojawi się na VirusTotal lub innych witrynach ze złośliwym oprogramowaniem, mogą oni dowiedzieć się, która z zainfekowanych ofiar dostarczyła próbki.

Złodziej do wynajęcia. Najwięcej zarobił programista Raccoona?

„Szop pracz” jest oferowany innym cyberprzestępcom jako swoisty złodziej do wynajęcia za opłatą. W zamian złośliwe oprogramowanie jest dość często aktualizowane.

Zwykle spotykany na rosyjskich forach undergroundowych Raccoon był również zauważalny przez ostatnie kilka lat na forach anglojęzycznych. Skorzystać z jego usług można było już za 75 dolarów za tygodniowy abonament. Według badaczy w ciągu sześciu miesięcy złośliwe oprogramowanie zostało użyte do kradzieży od swoich ofiar co najmniej 13 000 dolarów w kryptowalutach, a jeśli doliczyć do tego kopanie kryptowalut to skradziono kolejne 2 900 dolarów. Ot taka – swoiście rozumiana – praca w IT.

Deweloper zarobił około 1200 dolarów na opłatach abonamentowych. Według Sophosa:

To właśnie tego rodzaju model biznesowy sprawia, że ten rodzaj cyberprzestępczości jest tak atrakcyjny i niebezpieczny. Zwielokrotniony przez dziesiątki lub setki indywidualnych aktorów Raccoon, generuje źródło utrzymania dla swoich programistów i wielu innych osób wspierających dostawców podobnych usług, co pozwala im na dalsze ulepszanie i rozszerzanie swoich ofert.