Sikkerhedsforskere fra Sophos Labs har for nylig sporet en ny kampagne, der distribuerer den velkendte Raccoon inforstealer. den malware, som køres på as-a-service basis af dets udviklere, er blevet opdateret med ny taktik, teknikker og procedurer til at stjæle kritisk information fra sine mål. Oplysningerne Raccoon stjæler kan uploades enten til salg på kriminelle markedspladser, eller bruges af cyberkriminelle til andre formål.
Den malware er ikke overdrevent sofistikeret eller nyskabende, men dens malware-as-a-service (Maas) Modellen giver cyberkriminelle en hurtig og nem metode til at tjene penge ved at gå på kompromis med følsomme brugeroplysninger.
The Raccoon infostealer blev opdaget af Cybereason forskere, der siger, at “denne stamme af malware opstod først så sent som 2019, og har allerede etableret en stærk følgende blandt cyberkriminelle. dens popularitet, selv med et begrænset feature sæt, signaler fortsættelsen af en stigende tendens commoditization malware som de følger en Maas (Malware-as-a-service) model og udvikle deres indsats. ”
Raccoon Infostealer-As-A-Service
Malware ser ud til at være styret fra en Tor-baseret kommando- og kontrolpanelsserver. Ligesom mange andre kommercielle webbaserede tjenester, det er konstant under udvikling med nye funktioner og fejlrettelser. Det leverer endda automatiske opdateringer til malware, der allerede er installeret på inficerede maskiner, Siger Sophos. Selvom malware-as-a-service for det meste sælges på russisktalende fora, det har også reklamer på engelsk og tilbyder support på engelsk.
Hvad er vaskebjørn i stand til? Infostealeren kan høste adgangskoder, cookies, og autofyldteksten til websteder, inklusive kreditkortoplysninger og PII -browser kan gemme. Malware modtog for nylig en clipper -opdatering, hvilket betyder, at det nu kan målrette mod kryptovaluta -tegnebøger, og kan hente eller slippe filer på kompromitterede værter.
Hvor meget koster Raccoon malware?
Ifølge Sophos analyse, et startniveau, syv dages abonnement på Raccoon Stealer er tilgængelig på $75. Denne type malware kan købes af alle, uanset omdømme i den kriminelle verden, forskerne påpeger. “Tjenester som Raccoon tillader begyndende cyberkriminelle at etablere et ry, der ville lade dem abonnere på, eller køb, mere avanceret malware fra mere eksklusive leverandører. ”
Det er værd at nævne, at binarer og endda kildekode til nogle infostealers kan fås gratis. For eksempel, en revnet version af Azorult -informationsstealer -byggeren er lagt ud på flere downloadsider. For ikke at nævne, at der findes forskellige offensive sikkerhedsværktøjer, som LaZagne, som trusselsaktører kan bruge til samme formål. LaZagne -værktøjet er specifikt blevet brugt af Dharma ransomware cyberkriminalitetsbande.
De seneste vaskebjørn -kampagner bruger også SEO
“Langt de fleste nylige Raccoon -prøver distribueres via en enkelt dropper -kampagne, der gør brug af ondsindede websteder,”Siger Sophos. Søgemaskine optimering, kort tid kendt som SEO, er en anden teknik, der for nylig blev anvendt af cyberkriminelle bag infostealeren. SEO -tricks navigerer mennesker, der leder efter en bestemt softwarepakke for at besøge bestemte ondsindede websteder og blive inficeret med malware. "Søge efter "[softwareproduktnavn] crack ”på Google returnerer links til websteder, der påstås at levere downloads af software med licenskrav omgået,”Viser rapporten.
Den seneste Raccoon-kampagne kommer med søgemaskineoptimerede ondsindede websteder, der kommer højt i Google-resultater. Desuden, de promoveres også på en YouTube -kanal med video om varer, eller piratkopieret software. Forskerne stødte også på prøver i telemetri med to specifikke domæner: gsmcracktools.blogspot.com og procrackerz.org.
De ondsindede websteder annonceres typisk som lagre af krakket legitime softwarepakker. Men, filerne, der blev leveret i kampagnen, blev faktisk maskeret som droppere. Hvis det potentielle offer klikker på et link for at downloade en sådan fil, de kommer igennem et sæt omdirigerings -JavaScript, der er hostet på Amazon Web Services. Derefter, offeret sendes til en af flere downloadplaceringer, der leverer forskellige versioner af dropperen.
Grunden til, at denne kampagne har været så succesrig, er økonomien hos en inforstealer.
”Multipliceret over snesevis eller hundredvis af individuelle Raccoon -skuespillere, det skaber levebrød for Raccoons udviklere og en lang række andre understøttende ondsindede tjenesteudbydere, der giver dem mulighed for at fortsætte med at forbedre og udvide deres kriminelle tilbud. Og disse tilbud ramte i høj grad forbrugerne - især, som i dette tilfælde, når de gør brug af søgninger efter gratis versioner af kommerciel software," Slutter Sophos.