«Raccoon Stealer» был усовершенствован разработчиком с целью кражи криптовалюты наряду с прочей финансовой информацией.
Во вторник компания Sophos опубликовала новое исследование о «stealer-as-a-service» - дополнительном инструменте для кражи данных и получения прибыли, используемом киберпреступниками.
В новой кампании вредоносное ПО распространялось не через спам по электронной почте - обычный начальный вектор атаки, связанный с Raccoon Stealer - а, вместо этого, через дропперы, замаскированные под установщики взломанного и пиратского программного обеспечения.
Полученные Sophos образцы показали, что Raccoon Stealer поставляется в комплекте с другим вредоносным ПО, включая вредоносные расширения для браузеров, криптовалютные майнеры, штамм шифровальщика Djvu/Stop и вредоносными ботами, нацеленными на накрутку просмотров на YouTube.
Raccoon Stealer способен отслеживать и собирать учетные данные, файлы cookie, текст автозаполнения веб-сайта и финансовую информацию, которая может храниться на зараженном компьютере.
Однако обновленный вредонос также имеет функционал «QuilClipper» для кражи криптовалюты. В частности, целью QuilClipper являются кошельки и учетные данные в них, а также данные о транзакциях в Steam.
«QuilClipper крадет криптовалюту и транзакции Steam, постоянно отслеживая системный буфер обмена зараженных им Windows-устройств, ищет адреса криптовалютных кошельков и торговые предложения Steam, прогоняя содержимое буфера обмена через матрицу регулярных выражений для их идентификации» - отметили исследователи.
Raccoon Stealer действует через CnC-сервер на базе Tor, который обеспечивает извлечение данных и управление зараженными машинами. Каждый исполняемый файл вредоноса имеет уникальную сигнатуру для каждого клиента.
«Если образец вредоносного ПО появляется на VirusTotal или других сайтах, они могут отследить его до клиента, который мог его слить» - сообщают в Sophos.
Raccoon предлагается в качестве «кражи по найму»: разработчики вредоносной программы предлагают свое творение другим киберпреступникам за определенную плату. Взамен вредоносная программа часто обновляется и активно развивается.
Обычно Raccoon можно найти на российских подпольных форумах, но в последние несколько лет его заметили и на англоязычных форумах - всего за $75 за недельную подписку. По данным исследователей, за шесть месяцев с помощью этой вредоносной программы у жертв было похищено не менее $13 000 в криптовалюте, а в комплекте с майнерами - еще $2 900.
Разработчик заработал около $1200 в виде абонентской платы, а также долю от выручки пользователей.
«Именно такие экономические показатели делают этот вид киберпреступности таким привлекательным - и пагубным» - говорят в Sophos. «Умноженный на десятки или сотни отдельных партнеров Raccoon, он приносит доходы как своим разработчикам, так и множеству других поставщиков вредоносных услуг, что позволяет темному рынку продолжать совершенствоваться и расширять набор своих криминальных предложений».
Источник: https://is-systems.org