I ricercatori di sicurezza di Sophos Labs hanno recentemente monitorato una nuova campagna che distribuisce il noto inforstealer Raccoon. il malware, che viene eseguito su base as-a-service dai suoi sviluppatori, è stato aggiornato con nuove tattiche, tecniche e procedure per sottrarre informazioni critiche ai suoi obiettivi. Le informazioni rubate da Raccoon possono essere caricate sia per la vendita nei mercati criminali, o utilizzati da criminali informatici per altri scopi.
Il malware non è eccessivamente sofisticata e innovativa, ma la sua di malware-as-a-service (MAAS) modello fornisce i criminali informatici un metodo rapido-e-facile per fare soldi compromettendo sensibili dettagli utente.
The Raccoon infostealer fu scoperto dai ricercatori Cybereason, che affermano che "questo ceppo di malware è emerso per la prima volta di recente" 2019, e ha già stabilito un forte seguito tra criminali. La sua popolarità, anche con un set di funzionalità limitata, segnali la continuazione di una tendenza crescente della mercificazione malware seguono un MAAS (Malware-as-a-Service) modellare ed evolvere i loro sforzi.”
Raccoon Infostealer-As-A-Service
Il malware sembra essere controllato da un comando basato su Tor e un server del pannello di controllo. Come molti altri servizi commerciali basati sul web, è costantemente in fase di sviluppo con nuove funzionalità e correzioni di bug. Fornisce persino aggiornamenti automatici al malware già distribuito su macchine infette, Sophos dice. Anche se il malware-as-a-service viene venduto principalmente sui forum di lingua russa, ha anche pubblicità in inglese e offre supporto in inglese.
Di cosa è capace Raccoon? L'infostealer può raccogliere password, biscotti, e il testo di riempimento automatico per i siti web, inclusi i dettagli della carta di credito e il browser PII può memorizzare. Il malware ha recentemente ricevuto un aggiornamento Clipper, il che significa che ora può prendere di mira i portafogli di criptovaluta, e può recuperare o rilasciare file su host compromessi.
Quanto costa il malware Raccoon?
Secondo l'analisi di Sophos, un livello base, l'abbonamento di sette giorni a Raccoon Stealer è disponibile su $75. Questo tipo di malware può essere acquistato da chiunque, indipendentemente da qualsiasi reputazione nel mondo criminale, i ricercatori sottolineano. "Servizi come Raccoon consentono ai criminali informatici nascenti di stabilire una reputazione che consentirebbe loro di abbonarsi, o acquista, malware più avanzato da fornitori più esclusivi.”
Vale la pena ricordare che i binari e persino il codice sorgente per alcuni infostealer possono essere ottenuti gratuitamente. Per esempio, una versione craccata del generatore di ladri di informazioni Azorult è pubblicata su diversi siti di download. Per non parlare del fatto che ci sono vari strumenti di sicurezza offensivi, come LaZagne, che gli attori delle minacce possono utilizzare per lo stesso scopo. Lo strumento LaZagne in particolare è stato utilizzato dal Dharma ransomware banda di criminalità informatica.
Anche le ultime campagne Raccoon utilizzano la SEO
"La stragrande maggioranza dei recenti campioni di Raccoon viene distribuita tramite un'unica campagna contagocce sfruttando siti Web dannosi,"Dice Sophos. Ottimizzazione del motore di ricerca, poco conosciuto come SEO, è un'altra tecnica recentemente utilizzata dai criminali informatici dietro l'infostealer. I trucchi SEO spingono le persone alla ricerca di un particolare pacchetto software a visitare specifici siti dannosi e ad essere infettati dal malware. "Cercare "[nome del prodotto software] crack" su Google restituiscono collegamenti a siti Web che pretendono di fornire download di software con requisiti di licenza ignorati,"il rapporto mostra.
L'ultima campagna Raccoon include siti dannosi ottimizzati per i motori di ricerca che hanno un alto livello nei risultati di Google. In aggiunta, sono anche promossi su un canale YouTube con video sulle merci, o software piratato. I ricercatori si sono imbattuti anche in campioni di telemetria radicati con due domini specifici: gsmcracktools.blogspot.com e procrackerz.org.
I siti dannosi sono generalmente pubblicizzati come repository di pacchetti software legittimi violati. Tuttavia, i file consegnati nella campagna erano in realtà mascherati da contagocce. Se la potenziale vittima fa clic su un collegamento per scaricare tale file, passano attraverso una serie di redirector JavaScript ospitati su Amazon Web Services. Poi, la vittima viene inviata a una delle molteplici posizioni di download che forniscono varie versioni del contagocce.
Il motivo per cui questa campagna ha avuto tanto successo è l'economia di un inforstealer.
“Moltiplicato per decine o centinaia di singoli attori Raccoon, genera un sostentamento per gli sviluppatori di Raccoon e una miriade di altri fornitori di servizi dannosi di supporto che consente loro di continuare a migliorare ed espandere le loro offerte criminali. E quelle offerte colpiscono in gran parte i consumatori, soprattutto, come in questo caso, quando fanno uso di ricerche di versioni gratuite di software commerciale," Sophos conclude.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: