Raccoon Stealer is geüpgraded door de ontwikkelaar om naast financiële informatie ook cryptocurrency te stelen.
Dinsdag heeft Sophos nieuw onderzoek naar de stealer-as-a-service uitgebracht, een aanvulling voor bedreigingsactoren om te gebruiken als een extra tool voor gegevensdiefstal en inkomsten.
In een nieuwe campagne die door het team werd gevolgd, werd de malware niet verspreid via spam-e-mails – de gebruikelijke initiële aanvalsvector die is gekoppeld aan Raccoon Stealer – maar in plaats daarvan door druppelaars vermomd als installatieprogramma's voor gekraakte en illegale software.
Samples verkregen door Sophos onthulden dat de stealer wordt gebundeld met malware, waaronder kwaadaardige browserextensies, cryptocurrency-miners, de Djvu/Stop-consumentenransomware-stam en klikfraudebots die gericht zijn op YouTube-sessies.
Raccoon Stealer kan accountgegevens, cookies, website-tekst voor automatisch aanvullen en financiële informatie die op een geïnfecteerde machine is opgeslagen, controleren en verzamelen.
De geüpgradede stealer heeft echter ook een “clipper” voor diefstal op basis van cryptocurrency. Met name portemonnees en hun inloggegevens zijn het doelwit van de QuilClipper-tool, evenals op Steam gebaseerde transactiegegevens.
“QuilClipper steelt cryptocurrency- en Steam-transacties door continu het systeemklembord te controleren van Windows-apparaten die het infecteert, te kijken naar cryptocurrency-portemonnee-adressen en Steam-handelsaanbiedingen door de inhoud van het klembord door een matrix van reguliere expressies te laten lopen om ze te identificeren”, merkten de onderzoekers op.
De stealer werkt via een Tor-gebaseerde command-and-control (C2) server voor het afhandelen van data-exfiltratie en slachtofferbeheer. Elk uitvoerbaar bestand van Raccoon is gekoppeld aan een handtekening die specifiek is voor elke klant.
“Als een voorbeeld van hun malware op VirusTotal of andere malwaresites verschijnt, kunnen ze het terugleiden naar de klant die het mogelijk heeft gelekt”, zegt Sophos.
Raccoon wordt aangeboden als een stealer-for-hire, waarbij de ontwikkelaars achter de malware hun creatie tegen betaling aanbieden aan andere cybercriminelen. In ruil daarvoor wordt de malware regelmatig bijgewerkt.
Meestal te vinden op Russische ondergrondse forums, is Raccoon de laatste jaren ook gespot op Engelstalige forums – voor slechts $ 75 voor een wekelijks abonnement. Volgens de onderzoekers werd de malware over een periode van zes maanden gebruikt om ten minste $ 13.000 aan cryptocurrency van zijn slachtoffers te stelen, en toen het werd gebundeld met mijnwerkers, werd nog eens $ 2.900 gestolen.
De ontwikkelaar verdiende ongeveer $ 1200 aan abonnementskosten, samen met een verlaging van de gebruikersopbrengsten.
“Het is dit soort economie dat dit soort cybercriminaliteit zo aantrekkelijk en verderfelijk maakt”, zegt Sophos. “Vermenigvuldigd met tientallen of honderden individuele Raccoon-acteurs, genereert het een inkomen voor de ontwikkelaars van Raccoon en een groot aantal andere ondersteunende kwaadwillende serviceproviders, waardoor ze hun criminele aanbod kunnen blijven verbeteren en uitbreiden.”
Eerdere en gerelateerde berichtgeving
Oprichter van cryptocurrency-hedgefondsen beschuldigde meer dan $ 90 miljoen diefstal
Vorig jaar werden miljarden gestolen in blockchain-hacks
De ergste cryptocurrency-inbreuken, -diefstallen en exit-zwendel van 2020
br>
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Blockchain-beveiliging TV-gegevensbeheer CXO-datacenters 