Raccoon Stealer è stato aggiornato dal suo sviluppatore per rubare criptovaluta insieme alle informazioni finanziarie.
Martedì, Sophos ha rilasciato una nuova ricerca sullo stealer-as-a-service, un accessorio che gli autori delle minacce possono utilizzare come strumento aggiuntivo per il furto di dati e le entrate.
In una nuova campagna monitorata dal team, il malware è stato diffuso non tramite e-mail di spam, il consueto vettore di attacco iniziale collegato a Raccoon Stealer, ma, invece, tramite dropper camuffati da installatori di software crackato e piratato.
I campioni ottenuti da Sophos hanno rivelato che il ladro è stato impacchettato con malware tra cui estensioni del browser dannose, minatori di criptovalute, il ceppo di ransomware consumer Djvu/Stop e bot di clic fraudolenti che prendono di mira le sessioni di YouTube.
Raccoon Stealer è in grado di monitorare e raccogliere credenziali dell'account, cookie, testo di “compilazione automatica” del sito Web e informazioni finanziarie che possono essere archiviate su una macchina infetta.
Tuttavia, il ladro aggiornato ha anche un “clipper” per il furto di criptovalute. I portafogli e le loro credenziali, in particolare, sono presi di mira dallo strumento QuilClipper, così come dai dati delle transazioni basati su Steam.
“QuilClipper ruba le transazioni di criptovaluta e Steam monitorando continuamente gli appunti di sistema dei dispositivi Windows che infetta, osservando gli indirizzi dei portafogli di criptovaluta e le offerte commerciali di Steam eseguendo i contenuti degli appunti attraverso una matrice di espressioni regolari per identificarli”, hanno osservato i ricercatori.
Il ladro opera attraverso un server di comando e controllo (C2) basato su Tor per gestire l'esfiltrazione dei dati e la gestione delle vittime. Ogni eseguibile di Raccoon è legato con una firma specifica per ogni client.
“Se un campione del loro malware viene visualizzato su VirusTotal o su altri siti di malware, possono risalire al cliente che potrebbe averlo divulgato”, afferma Sophos.
Raccoon viene offerto come un ladro su commissione, con gli sviluppatori dietro il malware che offrono la loro creazione ad altri criminali informatici a pagamento. In cambio, il malware viene aggiornato frequentemente.
Solitamente trovato nei forum sotterranei russi, Raccoon è stato avvistato negli ultimi anni anche nei forum in lingua inglese, per un minimo di $ 75 per un abbonamento settimanale. Secondo i ricercatori, per un periodo di sei mesi, il malware è stato utilizzato per rubare almeno $ 13.000 in criptovaluta dalle sue vittime e, una volta in bundle con i minatori, ne sono stati rubati altri $ 2.900.
Lo sviluppatore ha guadagnato circa $ 1200 in quote di abbonamento, insieme a una parte dei proventi dell'utente.
“Sono questi tipi di economia che rendono questo tipo di crimine informatico così attraente e pernicioso”, afferma Sophos. “Moltiplicato per decine o centinaia di singoli attori Raccoon, genera un sostentamento per gli sviluppatori di Raccoon e una miriade di altri fornitori di servizi dannosi di supporto che consente loro di continuare a migliorare ed espandere le loro offerte criminali”.
Copertura precedente e correlata
Il fondatore di hedge fund di criptovaluta ha accusato oltre 90 milioni di dollari di furto
Lo scorso anno sono stati rubati miliardi in hack blockchain
Le peggiori violazioni, furti e truffe di uscita di criptovalute del 2020< br>
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Blockchain Security TV Data Management CXO Data Center 