Raccoon Stealer ворует вашу криптовалюту
Raccoon Stealer был обновлен разработчиком для кражи криптовалюты вместе с финансовой информацией. Вредоносная программа использовалась для кражи не менее 13000 долларов в криптовалюте у своих жертв, а в комплекте с майнерами было украдено еще 2900 долларов.
Raccoon Stealer был обновлен разработчиком для кражи криптовалюты вместе с финансовой информацией.
Во вторник Sophos опубликовал новое исследование стилера как услуги, который злоумышленники могут использовать в качестве дополнительного инструмента для кражи данных и получения доходов.
В рамках новой кампании, отслеживаемой командой, вредоносное ПО распространялось не через спам-электронные письма — обычный начальный вектор атаки, связанный с Raccoon Stealer, а через дропперы, замаскированные под установщики взломанного и пиратского программного обеспечения.
Raccoon Stealer: принцип действия
Образцы, полученные Sophos, показали, что к стилеру прилагается вредоносное ПО, в том числе вредоносные расширения для браузеров, майнеры криптовалюты, штамм вымогателей Djvu / Stop и боты для мошенничества с кликами, нацеленные на сеансы YouTube.
Raccoon Stealer может отслеживать и собирать учетные данные, файлы cookie, текст «автозаполнения» веб-сайта и финансовую информацию, которая может храниться на зараженном компьютере.
Однако в модернизированном стилере есть «клиппер» для кражи криптовалюты. Кошельки и их учетные данные, в частности, становятся мишенью для инструмента QuilClipper, а также для данных транзакций Steam.
QuilClipper крадет криптовалюту и транзакции Steam, постоянно отслеживая системный буфер обмена зараженных устройств Windows, отслеживая адреса кошельков с криптовалютами и предложения Steam, пропуская содержимое буфера обмена через матрицу регулярных выражений для их идентификации.
Злоумышленник работает через сервер управления и контроля (C2) на базе Tor для кражи данных и управления жертвами. Каждый исполняемый файл Raccoon привязан к индивидуальной подписи для каждого клиента.
Если образец их вредоносного ПО обнаруживается на VirusTotal или других вредоносных сайтах, они могут отследить его до клиента, который мог его передать.
Raccoon предлагается в качестве наемника, а разработчики вредоносного ПО предлагают свои творения другим киберпреступникам за определенную плату. В свою очередь, вредоносное ПО часто обновляется.
Raccoon, обычно встречающийся на российских андеграундных форумах, в последние несколько лет также был замечен на англоязычных форумах — всего за 75 долларов за еженедельную подписку. По словам исследователей, в течение шести месяцев вредоносная программа использовалась для кражи не менее 13000 долларов в криптовалюте у своих жертв, а в комплекте с майнерами было украдено еще 2900 долларов.
Вердикт
Разработчик заработал около 1200 долларов на абонентской плате вместе с небольшой выручкой от своих пользователей.
Именно такая экономика делает этот вид киберпреступлений настолько привлекательным — и пагубным. Умноженный на десятки или сотни отдельных участников Raccoon, он дает средства к существованию разработчикам Raccoon и множеству других поддерживающих поставщиков вредоносных услуг, что позволяет им продолжать улучшать и расширять свои криминальные предложения.
