Raccoon stealer-as-a-service zal nu proberen je cryptocurrency te pakken

Raccoon Stealer is geüpgraded door de ontwikkelaar om naast financiële informatie ook cryptocurrency te stelen.

Op dinsdag bracht Sophos nieuw onderzoek uit naar de stealer-as-a-service, een uitbreiding voor bedreigingsactoren om te gebruiken als een extra tool voor gegevensdiefstal en inkomsten.

In een nieuwe campagne die door het team werd gevolgd, werd de malware niet verspreid via spam-e-mails – de gebruikelijke initiële aanvalsvector die is gekoppeld aan Raccoon Stealer – maar in plaats daarvan door druppelaars vermomd als installatieprogramma’s voor gekraakte en illegale software.

Uit door Sophos verkregen monsters bleek dat de stealer wordt gebundeld met malware, waaronder kwaadaardige browserextensies, cryptocurrency-miners, de Djvu/Stop-ransomware voor consumenten en bots voor klikfraude die gericht zijn op YouTube-sessies.

Raccoon Stealer kan accountgegevens, cookies, website-tekst voor automatisch aanvullen en financiële informatie die op een geïnfecteerde machine is opgeslagen, controleren en verzamelen.

De geüpgradede stealer heeft echter ook een “clipper” voor diefstal op basis van cryptocurrency. Met name portemonnees en hun inloggegevens zijn het doelwit van de QuilClipper-tool, evenals op Steam gebaseerde transactiegegevens.

“QuilClipper steelt cryptocurrency- en Steam-transacties door continu het systeemklembord te controleren van Windows-apparaten die het infecteert, te kijken naar cryptocurrency-portemonnee-adressen en Steam-handelsaanbiedingen door de inhoud van het klembord door een matrix van reguliere expressies te laten lopen om ze te identificeren”, merkten de onderzoekers op.

De stealer werkt via een op Tor gebaseerde command-and-control (C2) -server om gegevensexfiltratie en slachtofferbeheer af te handelen. Elk uitvoerbaar bestand van Raccoon is gekoppeld aan een handtekening die specifiek is voor elke klant.

“Als een voorbeeld van hun malware op VirusTotal of andere malwaresites verschijnt, kunnen ze het terugleiden naar de klant die het mogelijk heeft gelekt”, zegt Sophos.

Raccoon wordt aangeboden als een stealer-for-hire, waarbij de ontwikkelaars achter de malware hun creatie tegen betaling aanbieden aan andere cybercriminelen. In ruil daarvoor wordt de malware regelmatig bijgewerkt.

Meestal te vinden op Russische ondergrondse forums, is Raccoon de laatste jaren ook gespot op Engelstalige forums – voor slechts $ 75 voor een wekelijks abonnement. Volgens de onderzoekers werd de malware over een periode van zes maanden gebruikt om ten minste $ 13.000 aan cryptocurrency van zijn slachtoffers te stelen, en toen het werd gebundeld met mijnwerkers, werd nog eens $ 2.900 gestolen.

De ontwikkelaar verdiende ongeveer $ 1200 aan abonnementskosten, samen met een verlaging van de opbrengst van hun gebruiker.

“Het is dit soort economie dat dit soort cybercriminaliteit zo aantrekkelijk en verderfelijk maakt”, zegt Sophos. “Vermenigvuldigd met tientallen of honderden individuele Raccoon-acteurs, genereert het een inkomen voor de ontwikkelaars van Raccoon en een groot aantal andere ondersteunende kwaadwillende serviceproviders, waardoor ze hun criminele aanbod kunnen blijven verbeteren en uitbreiden.”

Vorige en gerelateerde dekking


Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0


Posted By : keluaran sidney hari ini