Pesquisadores de segurança da Sophos Labs rastrearam recentemente uma nova campanha distribuindo o conhecido Raccoon inforstealer. o malware, que é executado como um serviço por seus desenvolvedores, foi atualizado com novas táticas, técnicas e procedimentos para roubar informações críticas de seus alvos. As informações que a Raccoon rouba podem ser carregadas para venda em mercados criminosos, ou usado por cibercriminosos para outros fins.
O malware não é excessivamente sofisticada ou inovadora, mas a sua malwares-as-a-service (MaaS) modelo dá cibercriminosos um método rápido e fácil de ganhar dinheiro por comprometer detalhes confidenciais do usuário.
The Raccoon infostealer foi descoberto por pesquisadores Cybereason, que dizem que “esta cepa de malware surgiu pela primeira vez tão recentemente quanto 2019, e já estabeleceu uma forte seguinte entre os cibercriminosos. sua popularidade, mesmo com um conjunto limitado de funcionalidades, sinais a continuação de uma tendência crescente da comoditização de malware como eles seguem um MaaS (Malware-as-a-Service) modelar e desenvolver seus esforços. ”
Raccoon Infostealer-as-A-Service
O malware parece ser controlado a partir de um servidor de painel de controle e comando baseado em Tor. Como muitos outros serviços comerciais baseados na web, está constantemente em desenvolvimento com novos recursos e correções de bugs. Está até fornecendo atualizações automatizadas para malware já implantado em máquinas infectadas, Sophos diz. Mesmo que o malware como serviço seja vendido principalmente em fóruns de língua russa, também tem anúncios em inglês e oferece suporte em inglês.
O que o guaxinim é capaz de fazer? O infostealer pode coletar senhas, biscoitos, e o texto de preenchimento automático para sites, incluindo detalhes do cartão de crédito e o navegador PII pode armazenar. O malware recebeu recentemente uma atualização do clipper, o que significa que agora ele pode direcionar carteiras de criptomoedas, e pode recuperar ou descartar arquivos em hosts comprometidos.
Quanto custa o malware Raccoon?
De acordo com a análise da Sophos, um nível de entrada, a assinatura de sete dias do Raccoon Stealer está disponível em $75. Este tipo de malware pode ser comprado por qualquer pessoa, independentemente de qualquer reputação no mundo do crime, os pesquisadores apontam. “Serviços como o Raccoon permitem que os cibercriminosos nascentes estabeleçam uma reputação que os permitiria assinar, ou comprar, malware mais avançado de fornecedores mais exclusivos. ”
Vale a pena mencionar que binários e até mesmo código-fonte para alguns infostealers podem ser obtidos gratuitamente. Por exemplo, uma versão crackeada do construtor de ladrões de informações Azorult foi postada em vários sites de download. Sem mencionar que existem várias ferramentas de segurança ofensivas, como LaZagne, que os agentes de ameaças podem usar para o mesmo propósito. A ferramenta LaZagne foi usada especificamente pelo Dharma ransomware gangue do crime cibernético.
As últimas campanhas da Raccoon também usam SEO
“A grande maioria das amostras recentes da Raccoon são distribuídas por meio de uma única campanha de conta-gotas, aproveitando sites maliciosos,”Sophos diz. Motor de Otimização de Busca, conhecido como SEO, é outra técnica recentemente implantada pelos cibercriminosos por trás do infostealer. Os truques de SEO conduzem as pessoas que procuram um pacote de software específico para visitar sites maliciosos específicos e serem infectadas com o malware. "Procurar por "[nome do produto de software] crack ”no Google retornam links para sites que pretendem fornecer downloads de software com requisitos de licença contornados,”O relatório mostra.
A campanha mais recente da Raccoon vem com sites maliciosos otimizados para mecanismos de pesquisa que aparecem em alta nos resultados do Google. além do que, além do mais, eles também são promovidos em um canal do YouTube com vídeos sobre produtos, ou software pirata. Os pesquisadores também encontraram amostras em telemetria enraizadas em dois domínios específicos: gsmcracktools.blogspot.com e procrackerz.org.
Os sites maliciosos são normalmente anunciados como repositórios de pacotes de software legítimos crackeados. Contudo, os arquivos entregues na campanha foram, na verdade, disfarçados de conta-gotas. Se a vítima em potencial clicar em um link para baixar esse arquivo, eles passam por um conjunto de JavaScripts redirecionadores hospedados na Amazon Web Services. Então, a vítima é enviada para um dos vários locais de download que oferecem várias versões do conta-gotas.
A razão pela qual esta campanha teve tanto sucesso é a economia de um inforstealer.
“Multiplicado por dezenas ou centenas de atores individuais de Raccoon, ele gera um sustento para os desenvolvedores da Raccoon e uma série de outros provedores de serviços maliciosos de apoio que lhes permite continuar a melhorar e expandir suas ofertas criminosas. E essas ofertas atingiram amplamente os consumidores, especialmente, como neste caso, quando fazem pesquisas por versões gratuitas de software comercial,” Sophos conclui.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: