Sicherheitsforscher der Sophos Labs haben kürzlich eine neue Kampagne verfolgt, die den bekannten Raccoon-Inforstealer verbreitet. Die Malware, das von seinen Entwicklern auf as-a-Service-Basis betrieben wird, wurde mit neuen Taktiken aktualisiert, Techniken und Verfahren, um kritische Informationen von seinen Zielen zu stehlen. Die Informationen, die Waschbär stiehlt, können entweder zum Verkauf auf kriminellen Marktplätzen hochgeladen werden, oder von Cyberkriminellen für andere Zwecke verwendet werden.
Die Malware ist nicht übermäßig anspruchsvoll oder innovativ, noch seine Malware-as-a-Service (MaaS) Modell gibt Cyber-Kriminelle eine schnelle und einfache Methode, um Geld zu verdienen, indem sensible Benutzerdaten zu beeinträchtigen.
Der Waschbär-Infostealer wurde entdeckt von Cybereason Forscher, die sagen, dass „dieser Malware-Stamm erst vor kurzem auftauchte“ 2019, und hat bereits eine große Fangemeinde unter den Cyber-Kriminellen etabliert. seine Popularität, auch mit einem begrenzten Funktionsumfang, Signale, die die Fortsetzung eines wachsenden Trend der Kommodifizierung von Malware, wie sie folgen einem MaaS (Malware-as-a-Service) Modell und entwickeln ihre Bemühungen.“
Waschbär Infostealer-As-A-Service
Die Malware scheint von einem Tor-basierten Befehls- und Kontrollfeldserver aus gesteuert zu werden. Wie viele andere kommerzielle webbasierte Dienste, Es wird ständig mit neuen Funktionen und Fehlerbehebungen weiterentwickelt. Es bietet sogar automatisierte Updates für Malware, die bereits auf infizierten Computern installiert ist, Sophos sagt. Auch wenn Malware-as-a-Service meist in russischsprachigen Foren verkauft wird, es hat auch Werbung auf Englisch und bietet Support auf Englisch.
Was kann Waschbär?? Der Infostealer kann Passwörter ernten, Kekse, und der Autofill-Text für Websites, einschließlich Kreditkartendetails und PII-Browser kann speichern. Die Malware hat kürzlich ein Clipper-Update erhalten, Das bedeutet, dass es jetzt auf Kryptowährungs-Wallets abzielen kann, und kann Dateien auf kompromittierten Hosts abrufen oder ablegen.
Wie viel kostet Raccoon-Malware??
Laut Sophos-Analyse, ein Einstiegsmodell, ein siebentägiges Abonnement für Raccoon Stealer ist erhältlich unter $75. Diese Art von Malware kann von jedem gekauft werden, ungeachtet jeglicher Reputation in der kriminellen Welt, Die Forscher weisen darauf hin,. „Dienste wie Raccoon ermöglichen es aufstrebenden Cyberkriminellen, einen Ruf aufzubauen, den sie abonnieren können, oder kaufen, fortschrittlichere Malware von exklusiveren Anbietern.“
Es ist erwähnenswert, dass Binärdateien und sogar Quellcode für einige Infostealer kostenlos erhältlich sind. Beispielsweise, eine gecrackte Version des Azorult Information Stealer Builders wird auf mehreren Downloadseiten veröffentlicht. Ganz zu schweigen davon, dass es verschiedene offensive Sicherheitstools gibt, wie LaZagne, die Bedrohungsakteure für den gleichen Zweck nutzen können. Das LaZagne-Tool wurde speziell von den Dharma Ransomware Cyberkriminelle Bande.
Die neuesten Raccoon-Kampagnen verwenden auch SEO
„Die überwiegende Mehrheit der aktuellen Raccoon-Proben wird über eine einzige Dropper-Kampagne verteilt, die bösartige Websites nutzt,Sagt Sophos. Suchmaschinenoptimierung, kurz bekannt als SEO, ist eine weitere Technik, die kürzlich von den Cyberkriminellen hinter dem Infostealer eingesetzt wurde. SEO-Tricks navigieren Menschen, die nach einem bestimmten Softwarepaket suchen, um bestimmte bösartige Websites zu besuchen und sich mit der Malware infizieren zu lassen. "Suchen nach "[Softwareproduktname] crack“ auf Google geben Links zu Websites zurück, die vorgeben, Downloads von Software anzubieten, bei der die Lizenzanforderungen umgangen werden,“ zeigt der Bericht.
Die neueste Raccoon-Kampagne enthält suchmaschinenoptimierte bösartige Websites, die in den Google-Ergebnissen weit oben stehen. Außerdem, Sie werden auch auf einem YouTube-Kanal mit Videos über Waren beworben, oder raubkopierte Software. Die Forscher stießen auch auf Stichproben in der Telemetrie, die mit zwei spezifischen Domänen verwurzelt waren: gsmcracktools.blogspot.com und procrackerz.org.
Die bösartigen Websites werden in der Regel als Repositorys geknackter legitimer Softwarepakete beworben. Jedoch, die in der Kampagne gelieferten Dateien wurden tatsächlich als Dropper getarnt. Wenn das potenzielle Opfer auf einen Link klickt, um eine solche Datei herunterzuladen, Sie erhalten eine Reihe von Redirector-JavaScripts, die auf Amazon Web Services gehostet werden. Dann, das Opfer wird an einen von mehreren Download-Standorten geschickt, die verschiedene Versionen des Droppers liefern.
Der Grund, warum diese Kampagne so erfolgreich war, ist die Wirtschaftlichkeit eines Inforstealers.
„Multipliziert mit Dutzenden oder Hunderten einzelner Raccoon-Schauspieler, es schafft eine Existenzgrundlage für die Entwickler von Raccoon und eine Vielzahl anderer unterstützender Anbieter bösartiger Dienste, die es ihnen ermöglichen, ihre kriminellen Angebote weiter zu verbessern und zu erweitern. Und diese Angebote treffen die Verbraucher weitgehend – insbesondere, wie in diesem Fall, wenn sie die Suche nach kostenlosen Versionen kommerzieller Software nutzen," Sophos schließt ab.