Beveiligingsonderzoekers van Sophos Labs hebben onlangs een nieuwe campagne gevolgd om de bekende Raccoon-inforstealer te verspreiden. de malware, die op as-a-service-basis wordt uitgevoerd door de ontwikkelaars, is bijgewerkt met nieuwe tactieken, technieken en procedures om kritieke informatie van zijn doelen te stelen. De informatie die Raccoon steelt, kan worden geüpload voor verkoop op criminele marktplaatsen, of gebruikt door cybercriminelen voor andere doeleinden.
De malware is niet overdreven verfijnd of vernieuwend, toch zijn malware-as-a-service (MAAS) model geeft cybercriminelen een snelle en eenvoudige methode om geld te verdienen door compromitterende gevoelige gebruikersgegevens.
De wasbeer infostealer was ontdekt door Cybereason onderzoekers, die zeggen dat "deze vorm van malware voor het eerst opdook zo recent als" 2019, en heeft al een sterke aanhang onder cybercriminelen. zijn populariteit, zelfs met een beperkte feature set, signalen de voortzetting van een groeiende trend van de commoditization van malware als ze volgen een MAAS (Malware-as-a-Service) modelleren en hun inspanningen verder ontwikkelen.”
Wasbeer Infostealer-As-A-Service
De malware lijkt te worden bestuurd vanaf een Tor-gebaseerde command and control panel-server. Net als veel andere commerciële webgebaseerde services, het is voortdurend in ontwikkeling met nieuwe functies en bugfixes. Het biedt zelfs geautomatiseerde updates voor malware die al op geïnfecteerde machines is geïmplementeerd, Sophos zegt:. Hoewel de malware-as-a-service meestal wordt verkocht op Russisch sprekende forums, het heeft ook advertenties in het Engels en biedt ondersteuning in het Engels.
Waar is wasbeer toe in staat?? De infostealer kan wachtwoorden verzamelen, cookies, en de tekst voor automatisch aanvullen voor websites, inclusief creditcardgegevens en PII-browser kan worden opgeslagen. De malware heeft onlangs een clipper-update ontvangen, wat betekent dat het zich nu kan richten op cryptocurrency-portefeuilles, en kan bestanden ophalen of neerzetten op gecompromitteerde hosts.
Hoeveel kost Raccoon-malware??
Volgens Sophos-analyse, een instapmodel, zevendaags abonnement op Raccoon Stealer is verkrijgbaar bij $75. Dit type malware kan door iedereen worden gekocht, ongeacht enige reputatie in de criminele wereld, de onderzoekers wijzen erop. “Services zoals Raccoon stellen beginnende cybercriminelen in staat een reputatie op te bouwen waardoor ze zich zouden kunnen abonneren op, of aankoop, meer geavanceerde malware van exclusievere leveranciers.”
Het is vermeldenswaard dat binaries en zelfs broncode voor sommige infostealers gratis kunnen worden verkregen. Bijvoorbeeld, een gekraakte versie van de Azorult information stealer builder is op verschillende downloadsites geplaatst. Om nog maar te zwijgen van het feit dat er verschillende offensieve beveiligingstools zijn, zoals LaZagne, die dreigingsactoren voor hetzelfde doel kunnen gebruiken. De LaZagne-tool is specifiek gebruikt door de Dharma ransomware cybercriminaliteit bende.
De nieuwste Raccoon-campagnes gebruiken ook SEO
“De overgrote meerderheid van recente Raccoon-samples wordt verspreid via een enkele dropper-campagne die gebruikmaakt van kwaadaardige websites,'Zegt Sophos. Zoek machine optimalisatie, kortweg bekend als SEO, is een andere techniek die recentelijk is ingezet door de cybercriminelen achter de infostealer. SEO-trucs navigeren mensen die op zoek zijn naar een bepaald softwarepakket om specifieke kwaadaardige sites te bezoeken en geïnfecteerd te raken met de malware. "Zoeken naar "[naam softwareproduct] crack" op Google retourneert links naar websites die beweren downloads van software te bieden waarbij de licentievereisten zijn omzeild,"het rapport laat zien".
De nieuwste Raccoon-campagne wordt geleverd met voor zoekmachines geoptimaliseerde kwaadaardige sites die hoog in de Google-resultaten komen. Bovendien, ze worden ook gepromoot op een YouTube-kanaal met video over waren, of illegale software. De onderzoekers kwamen ook monsters tegen in telemetrie die geworteld waren in twee specifieke domeinen: gsmcracktools.blogspot.com en procrackerz.org.
De kwaadaardige sites worden meestal geadverteerd als opslagplaatsen van gekraakte legitieme softwarepakketten. Echter, de bestanden die in de campagne werden geleverd, waren eigenlijk vermomd als droppers. Als het potentiële slachtoffer op een link klikt om zo'n bestand te downloaden, ze komen via een set JavaScript-redirector die wordt gehost op Amazon Web Services. Dan, het slachtoffer wordt naar een van de meerdere downloadlocaties gestuurd die verschillende versies van de druppelaar leveren.
De reden dat deze campagne zo succesvol is geweest, is de economie van een inforstealer.
"Vermenigvuldigd over tientallen of honderden individuele wasbeeracteurs, het genereert een inkomen voor de ontwikkelaars van Raccoon en een groot aantal andere ondersteunende kwaadwillende serviceproviders, waardoor ze hun criminele aanbod kunnen blijven verbeteren en uitbreiden. En dat aanbod trof vooral consumenten, vooral, zoals in dit geval, wanneer ze gebruik maken van zoekopdrachten naar gratis versies van commerciële software," Sophos concludeert:.