Los investigadores de seguridad de Sophos Labs rastrearon recientemente una nueva campaña que distribuía al conocido informador de Raccoon. el software malicioso, que se ejecuta como servicio por sus desarrolladores, se ha actualizado con nuevas tácticas, técnicas y procedimientos para robar información crítica de sus objetivos. La información que Raccoon roba se puede cargar para la venta en mercados criminales., o utilizado por los ciberdelincuentes para otros fines.
El malware no es excesivamente sofisticados o innovadora, sin embargo, su software malicioso-as-a-service (MaaS) modelo da cibercriminales un método rápido y fácil a hacer dinero por poner en peligro los datos de usuario sensibles.
El infostealer mapache fue descubierto por investigadores Cybereason, que dicen que "esta cepa de malware apareció por primera vez tan recientemente como 2019, y ya se ha establecido un fuerte seguimiento entre los cibercriminales. su popularidad, incluso con un conjunto de características limitadas, las señales de la continuación de una tendencia creciente de la mercantilización de malware, ya que siguen un MaaS (Malware-as-a-Service) modelar y hacer evolucionar sus esfuerzos ".
Mapache Infostealer-As-A-Service
El malware parece estar controlado desde un servidor de panel de control y comando basado en Tor. Como muchos otros servicios comerciales basados en la web, está en constante desarrollo con nuevas funciones y correcciones de errores. Incluso proporciona actualizaciones automáticas para malware ya implementado en máquinas infectadas., Sophos dice. Aunque el malware como servicio se vende principalmente en foros de habla rusa, también tiene anuncios en inglés y ofrece soporte en inglés.
¿De qué es capaz Raccoon?? El infostealer puede recolectar contraseñas, Galletas, y el texto de autocompletar para sitios web, incluidos los detalles de la tarjeta de crédito y el navegador de PII puede almacenar. El malware recibió recientemente una actualización de clipper, lo que significa que ahora puede apuntar a carteras de criptomonedas, y puede recuperar o soltar archivos en hosts comprometidos.
¿Cuánto cuesta el malware Raccoon??
Según el análisis de Sophos, un nivel de entrada, La suscripción de siete días a Raccoon Stealer está disponible en $75. Cualquiera puede comprar este tipo de malware, independientemente de cualquier reputación en el mundo criminal, los investigadores señalan. “Los servicios como Raccoon permiten a los ciberdelincuentes incipientes establecer una reputación que les permitiría suscribirse a, o compra, malware más avanzado de proveedores más exclusivos ".
Vale la pena mencionar que los binarios e incluso el código fuente de algunos infostealers se pueden obtener de forma gratuita.. Por ejemplo, una versión descifrada del constructor de ladrones de información Azorult se publica en varios sitios de descarga. Sin mencionar que existen varias herramientas de seguridad ofensivas., como LaZagne, que los actores de amenazas pueden usar para el mismo propósito. La herramienta LaZagne ha sido utilizada específicamente por ransomware Dharma pandilla de delitos informáticos.
Las últimas campañas de Raccoon también utilizan SEO
“La gran mayoría de las muestras recientes de Raccoon se distribuyen a través de una única campaña de cuentagotas que aprovecha sitios web maliciosos,"Dice Sophos. Optimización de motores de búsqueda, brevemente conocido como SEO, es otra técnica implementada recientemente por los ciberdelincuentes detrás del infostealer. Los trucos de SEO permiten que las personas que buscan un paquete de software en particular visiten sitios maliciosos específicos y se infecten con el malware.. "Buscar "[nombre del producto de software] crack ”en Google devuelve enlaces a sitios web que pretenden proporcionar descargas de software con requisitos de licencia omitidos.,”El informe muestra.
La última campaña de Raccoon viene con sitios maliciosos optimizados para motores de búsqueda que ocupan un lugar destacado en los resultados de Google. Adicionalmente, También se promocionan en un canal de YouTube con videos sobre productos., o software pirateado. Los investigadores también encontraron muestras en telemetría arraigadas con dos dominios específicos: gsmcracktools.blogspot.com y procrackerz.org.
Los sitios maliciosos generalmente se anuncian como repositorios de paquetes de software legítimos descifrados.. Sin embargo, los archivos entregados en la campaña en realidad se hicieron pasar por goteros. Si la víctima potencial hace clic en un enlace para descargar dicho archivo, pasan a través de un conjunto de JavaScripts redirectores alojados en Amazon Web Services. Entonces, la víctima es enviada a una de las múltiples ubicaciones de descarga que entregan varias versiones del cuentagotas.
La razón por la que esta campaña ha tenido tanto éxito es la economía de un ladrón de información..
“Multiplicado por decenas o cientos de actores individuales de Raccoon, Genera un medio de vida para los desarrolladores de Raccoon y una serie de otros proveedores de servicios maliciosos de apoyo que les permite continuar mejorando y expandiendo sus ofertas delictivas.. Y esas ofertas afectan en gran medida a los consumidores, especialmente, como en este caso, cuando utilizan búsquedas de versiones gratuitas de software comercial," Sophos concluye.