Serviciile Raccoon Stealer au fost actualizate pentru a include instrumente pentru sifonarea criptomonedelor de pe dispozitivul unei victime, dar și funcții suplimentare de acces de la distanță pentru descărcarea de malware și furt de fișiere. În plus, platforma „stealer-as-a-service”, ai cărei clienți sunt în principal hackeri amatori, oferă servicii la cheie pentru furtul parolelor și cookie-urilor de autentificare salvate în browsere.
Potrivit unei cercetări recente publicate marți de Sophos Labs, platforma a făcut recent o actualizare semnificativă care include noi capabilități și rețele de distribuție pentru a ajuta la creșterea numărului de ținte infectate. Pentru început, Raccoon Stealer a trecut de la infecțiile bazate pe inbox la cele bazate pe Google Search. Potrivit Sophos, autorii de amenințări au ajuns să stăpânească arta optimizării paginilor web malițioase pentru a se poziționa la un nivel ridicat în rezultatele căutărilor pe Google.
Instrumentele de piraterie software, cum ar fi aplicațiile care „sparg” software-ul licențiat pentru utilizare ilegală sau programele „keygen” care promit să genereze chei de înregistrare pentru a debloca software-ul licențiat, sunt folosite pentru a atrage victimele în această campanie.
Yusuf Polat și Sean Gallagher, ambii cercetători seniori în domeniul amenințărilor la Sophos, au menționat în raport că:
„În timp ce site-urile se prezentau ca o arhivă de pachete software legitime „sparte”, fișierele livrate erau de fapt droppers deghizați. Dacă se dădea clic pe linkurile de descărcare, se făcea legătura cu un set de scripturi JavaScripts de redirecționare găzduite pe Amazon Web Services, care direcționau victimele către una dintre multiplele locații de descărcare, livrând diferite versiuni ale dropper-ului.”
Racoon Stealer învață trucuri noi și aduce neplăceri noi
Potrivit Sophos, spre deosebire de alte servicii de furt de informații și programe malware care vizează persoanele fizice prin intermediul inboxurilor, Raccoon Stealer este transmis prin site-uri web malițioase.
Potrivit cercetătorilor, cei care se lasă păcăliți de această stratagemă, în prima etapă descarcă o arhivă. Apoi, în arhivă sunt incluse o altă arhivă protejată prin parolă și un document text care conține o parolă necesară mai târziu în lanțul de infectare: „Arhiva care conține executabilul ‘setup’ este protejată cu o parolă pentru a evita scanarea malware-ului”, au precizat aceștia.
Atunci când se deschide programul, se primesc alte aplicații de instalare care se extrag singure. „Acestea au semnături asociate cu arhivele care se autoextrag din instrumente precum 7zip sau Winzip SFX, dar nu pot fi decomprimate de aceste instrumente. Așadar, fie semnăturile au fost falsificate, fie antetele fișierelor au fost manipulate de către persoanele care se află în spatele dropperelor pentru a împiedica decomprimarea fără executare,” a explicat Sophos.
Potrivit Sophos, malware-ul livrabil către o țintă include:
- Crypto-mineri
- Extensii malițioase de browser
- Boți frauduloși prin click pe YouTube
- Djvu/Stop (un ransomware care vizează în principal utilizatorii particulari)
- „Clippers” (malware care fură criptomonede prin modificarea clipboard-ului sistemului victimei în timpul tranzacțiilor și schimbarea portofelului de destinație)
Structura unui sistem de furt ca serviciu (Stealer-as-a-Service)
Suplimentar, operatorii de amenințări folosesc platforma de chat securizată Telegram pentru a administra dispozitivele infectate, potrivit Sophos, și ascund și mai mult comunicațiile folosind o cheie de criptare RC4 pentru a masca ID-urile de configurare conectate cu „clientul” Raccoon.
„Folosind cheia RC4 de criptare puternică, Raccoon decriptează mesajul de descriere a canalului – care conține adresa unei „porți” de comandă și control (C2). Acesta nu este un proces de decriptare simplu – o porțiune din șirul rezultat este tăiat atât de la începutul cât și de la sfârșitul descrierii canalului și apoi codul decriptează textul cu RC4 pentru a obține adresa porții C2″, au explicat cercetătorii.
Pentru a comunica cu C2, operatorii Raccoon se conectează la poartă. Infractorii încep o căutare a tot ceea ce pare valoros, inclusiv datele din browser și portofelele de criptomonede, apoi folosesc C2 pentru a le exfiltra. În același timp, C2 este utilizat pentru a descărca și rula SilentXMRMiner, codat în Visual Basic.NET și criptat cu Crypto Obfuscator.
Potrivit Sophos, o sarcină utilă de al doile nivel livrată de Raccoon Stealer începând cu octombrie 2020, a inclus 18 tulpini de malware. Cel mai nou exemplu este QuilClipper, un software malițios care vizează tranzacțiile cu bitcoin (cunoscut și sub numele de malware clipper).
„În timp ce analizam mostre similare cu .Net loader și clipper pe Virustotal, am găsit mai multe mostre găzduite pe domeniul bbhmnn778[.]fun”, au scris analiștii. ” Unele dintre programele .NET loader erau Raccoon Stealer, iar ambele eșantioane QuilClipper și Raccoon folosesc canalul Telegram Raccoon pe care l-am găsit în eșantionul nostru inițial Raccoon: telete[.]in/jbitchsucks. Investigând aceste fișiere și căutând pe numele lor, am găsit un canal YouTube care promovează Raccoon Stealer și QuilClipper.”
Racoon în termeni financiari: atractivitatea egalează fatalitatea
Conform unei analize a infrastructurii Raccoon Stealer, există 60 de subdomenii în cadrul domeniului xsph[.]ru, dintre care 21 sunt acum operaționale și înregistrate la furnizorul rus de servicii de hosting SprintHost[.]ru.
Polat și Gallagher au scris că: „Această campanie Raccoon Stealer este un indiciu al gradului de industrializare a activității infracționale”. Potrivit cercetătorilor, autorii amenințărilor folosesc din ce în ce mai mult o varietate de servicii comerciale, cum ar fi un dropper-as-a-service și malware hosting-as-a-service, pentru a distribui Raccoon.
Pe parcursul unei perioade de șase luni, infractorii din spatele campaniei Raccoon au reușit să implementeze programe malware, să fure cookie-uri și acreditări și să vândă aceste acreditări pe piețele criminale pentru a fura aproximativ 13.200 de dolari în criptomonede, precum și pentru a extrage încă 2.900 de dolari în criptomonede folosind resursele informatice ale victimelor, potrivit Sophos.
“It’s these kinds of economics that make this type of cybercrime so attractive – and pernicious,” noted Sophos.
„Acest gen de beneficii economice sunt cele care fac ca acest tip de criminalitate cibernetică să fie atât de atrăgătoare – și de dăunătoare”, a precizat Sophos.
Surse:
