Raccoon Stealer wurde von seinem Entwickler aktualisiert, um neben Finanzinformationen auch Kryptowährung zu stehlen.
Am Dienstag veröffentlichte Sophos neue Forschungsergebnisse zum Stealer-as-a-Service, einem Bolt-on für Bedrohungsakteure, das als zusätzliches Werkzeug für Datendiebstahl und Umsatz verwendet werden kann.
In einer neuen Kampagne, die das Team verfolgte, wurde die Malware nicht über Spam-E-Mails verbreitet – der übliche anfängliche Angriffsvektor im Zusammenhang mit Raccoon Stealer –, sondern stattdessen über Dropper, die als Installer für gecrackte und raubkopierte Software getarnt waren.
Beispiele von Sophos zeigten, dass der Dieb mit Malware gebündelt wird, darunter bösartige Browsererweiterungen, Kryptowährungs-Miner, der Djvu/Stop-Ransomware-Stamm für Verbraucher und Klickbetrug-Bots, die auf YouTube-Sitzungen abzielen.
Raccoon Stealer ist in der Lage, Kontoanmeldeinformationen, Cookies, Website-“Autofill”-Text und Finanzinformationen, die auf einem infizierten Computer gespeichert sein können, zu überwachen und zu sammeln.
Der aktualisierte Diebstahl hat jedoch auch einen “Clipper” für kryptowährungsbasierten Diebstahl. Wallets und insbesondere deren Zugangsdaten werden vom QuilClipper-Tool sowie Steam-basierten Transaktionsdaten angegriffen.
„QuilClipper stiehlt Kryptowährungs- und Steam-Transaktionen, indem es die Systemzwischenablage von Windows-Geräten, die es infiziert, kontinuierlich überwacht, nach Kryptowährungs-Wallet-Adressen und Steam-Handelsangeboten sucht, indem es den Inhalt der Zwischenablage durch eine Matrix von regulären Ausdrücken laufen lässt, um sie zu identifizieren“, stellten die Forscher fest.
Der Dieb arbeitet über einen Tor-basierten Command-and-Control (C2) Server, um die Datenexfiltration und das Opfermanagement zu handhaben. Jede ausführbare Raccoon-Datei ist mit einer für jeden Client spezifischen Signatur verknüpft.
“Wenn eine Probe ihrer Malware auf VirusTotal oder anderen Malware-Sites auftaucht, können sie sie bis zum Kunden zurückverfolgen, der sie möglicherweise durchgesickert hat”, sagt Sophos.
Raccoon wird als Leihgerät angeboten, wobei die Entwickler der Malware ihre Kreation anderen Cyberkriminellen gegen eine Gebühr anbieten. Im Gegenzug wird die Malware regelmäßig aktualisiert.
Normalerweise findet man Raccoon in russischen Untergrundforen, aber in den letzten Jahren wurde Raccoon auch in englischsprachigen Foren gesichtet – für nur 75 US-Dollar für ein wöchentliches Abonnement. Laut den Forschern wurde die Malware über einen Zeitraum von sechs Monaten verwendet, um ihren Opfern mindestens 13.000 US-Dollar in Kryptowährung zu stehlen, und wenn sie mit Bergleuten gebündelt wurden, wurden weitere 2.900 US-Dollar gestohlen.
Der Entwickler verdiente rund 1200 US-Dollar an Abonnementgebühren, zusammen mit einem Teil der Einnahmen seiner Nutzer.
„Diese Art von Wirtschaftlichkeit macht diese Art von Cyberkriminalität so attraktiv – und schädlich“, sagt Sophos. “Vervielfacht auf Dutzende oder Hunderte einzelner Raccoon-Akteure schafft es eine Existenzgrundlage für die Entwickler von Raccoon und eine Vielzahl anderer unterstützender böswilliger Diensteanbieter, die es ihnen ermöglichen, ihre kriminellen Angebote weiter zu verbessern und zu erweitern.”
Frühere und verwandte Berichterstattung
Gründer von Kryptowährungs-Hedgefonds hat über 90 Millionen US-Dollar Diebstahl in Rechnung gestellt
Milliarden wurden bei Blockchain-Hacks im letzten Jahr gestohlen
Die schlimmsten Kryptowährungsverletzungen, Diebstähle und Exit-Betrug im Jahr 2020< br>
Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499, oder drüben bei Keybase: charlie0
Verwandte Themen:
Blockchain-Sicherheit TV-Datenverwaltung CXO-Rechenzentren 