Браузер Raccoon, как он называется

Обновлено: 05.07.2024

Каждый браузер, о котором вы только можете подумать, является мишенью для популярного вредоносного ПО.

Чарли Осборн — журналист и фотограф, специализирующийся на кибербезопасности, пишет для ZDNet и CNET из Лондона.


Возможно, Raccoon — не самый дешевый вариант на рынке, но это вредоносное ПО завоевало популярность среди киберпреступников благодаря своей способности атаковать как минимум 60 приложений, многие из которых являются браузерами, которые мы используем сегодня.

Безопасность

Похититель информации Raccoon, также известный как Racealer, привлек внимание на подпольных форумах благодаря агрессивному маркетингу своих широких возможностей, использованию пуленепробиваемого хостинга и простой в использовании серверной части. Вредоносное ПО предлагается по цене 200 долларов США в месяц и впервые было обнаружено исследователями из компании Cybereason, специализирующейся на кибербезопасности, в 2019 году.

Несмотря на то, что модель Raccoon на основе подписки дороже, чем другие автономные предложения, она включает техническую поддержку, исправления ошибок и обновления по относительно дешевой цене "Вредоносное ПО как услуга" (MaaS). поскольку его общие возможности сделали его выгодным вложением средств для киберпреступников, стремящихся украсть данные и криптовалюту.

Новый анализ вредоносного ПО, проведенный Cyberark, показывает, что многие программы для кражи информации обычно не слишком сложны и используют одни и те же методы для кражи информации. Однако в случае Raccoon вредоносная программа C++ способна похитить данные из 35 браузеров и 60 приложений в целом.

По данным Cyberark, Raccoon обычно доставляется с помощью фишинговых кампаний и наборов эксплойтов. Мошеннические электронные письма, отправляемые потенциальным жертвам, содержат вложения документов Microsoft Office с вредоносными макросами, тогда как наборы эксплойтов обычно размещаются на веб-сайтах.

Жертвы составляются на предмет любых потенциальных уязвимостей в браузере, и на основе этого анализа они перенаправляются к соответствующему набору эксплойтов.

Командно-контрольный сервер (C2), необходимый для передачи украденной информации, а также для удаленного обновления конфигурации вредоносных программ, имеет свой адрес, скрытый с помощью нескольких уровней шифрования.

Вредоносная программа нацелена на широкий спектр популярных браузеров Mozilla и Chromium: Google Chrome, Google Chrome (Chrome SxS), Chromium, Xpom, Comodo Dragon, Amigo, Orbitum, Bromium, Nichrome, RockMelt, 360Browser, Vivaldi, Opera, Sputnik. , Kometa, Uran, QIP Surf, Epic Privacy, CocCoc, CentBrowser, 7Star, Elements, TorBro, Suhba, Safer Browser, Mustang, Superbird, Chedot, Torch, Internet Explorer, Microsoft Edge, Firefox, WaterFox, SeaMonkey и PaleMoon.< /p>

Кроме того, Raccoon пытается скомпрометировать почтовые клиенты ThunderBird, Outlook и Foxmail.

Cyberark заявляет, что для каждого целевого приложения применяется одна и та же процедура. Вредоносная программа захватывает файлы приложения, содержащие конфиденциальные данные, и копирует их во временную папку, выполняет процедуры для извлечения и расшифровки информации, записывает это содержимое в отдельный текстовый файл, а затем отправляет его на C2.

"Чтобы извлечь и расшифровать учетные данные приложений, Raccoon загружает определенные библиотеки DLL для приложений", — говорят исследователи. "JSON конфигурации содержит URL-адрес, откуда вредоносное ПО будет загружать эти библиотеки."

Криптовалюта тоже находится в опасности. Raccoon будет искать кошельки Electrum, Ethereum, Exodus, Jaxx, Monero и Bither, сканируя папки приложений по умолчанию, а также попытается получить учетные данные их кошельков.

После того, как Raccoon украл необходимые данные, эта информация компилируется в архивный файл .zip и отправляется на C2. Он также может действовать как дроппер для дополнительных полезных нагрузок вредоносного ПО.

Вредоносное ПО продолжает поддерживаться командой, и разработка продолжается. Недавно Raccoon также получил возможность красть учетные данные FTP-сервера из FileZilla, ошибки пользовательского интерфейса были устранены, а авторы также создали возможность шифрования пользовательских сборок вредоносных программ из пользовательского интерфейса для загрузки в виде DLL.

"Несмотря на то, что Raccoon — не самый сложный из доступных инструментов, он по-прежнему очень популярен среди киберпреступников и, скорее всего, будет по-прежнему", – говорят исследователи. «То, что раньше было доступно более изощренным злоумышленникам, теперь доступно даже для начинающих игроков, которые могут покупать стилеры, такие как Raccoon, и использовать их, чтобы получить в свои руки конфиденциальные данные организации».


<>







Предыдущее и связанное с ним освещение

Есть совет? Безопасно общайтесь через WhatsApp | Сигнал на +447713 025 499 или на Keybase: charlie0


Несмотря на высокую цену и бизнес-модель, основанную на подписке, вредоносное ПО Raccoon становится все более популярным среди киберпреступников благодаря своей способности атаковать как минимум 60 приложений, включая самые популярные браузеры.

Похититель информации Raccoon, также известный как Racealer, завоевал популярность на подпольных хакерских форумах благодаря своей агрессивной маркетинговой стратегии, использованию пуленепробиваемого хостинга и простой в использовании серверной части. Эта вредоносная программа была впервые обнаружена в прошлом году исследователями безопасности из компании Cybereason, и ее стоимость составляет 200 долларов США в месяц.

Что отличает Raccoon от других вредоносных программ, так это тот факт, что он использует бизнес-модель на основе подписки, которая включает техническую поддержку, исправления ошибок и обновления. Это также позволяет киберпреступникам красть данные и криптовалюту из самых разных браузеров и других приложений.

    вернуться с местью
  • Это лучшие инструменты для удаления вредоносных программ, которые по-прежнему могут представлять серьезную угрозу.

Вредоносное ПО Raccoon

Новый анализ Racoon, проведенный Cyberark, показал, что это вредоносное ПО, способное похищать данные из 35 браузеров и 60 приложений в целом, обычно доставляется с помощью фишинговых кампаний и наборов эксплойтов.

Мошеннические электронные письма, содержащие документы Microsoft Office, заполненные вредоносными макросами, рассылаются потенциальным жертвам в рамках фишинговых кампаний, в то время как наборы эксплойтов обычно размещаются на веб-сайтах, а жертвы профилируются на предмет любых потенциальных уязвимостей в браузере, прежде чем перенаправляться на соответствующий набор эксплойтов. чтобы использовать их.

Криптовалюты, хранящиеся в системах пользователей, также подвергаются риску, поскольку вредоносное ПО ищет кошельки Electrum, Ethereum, Exodus, Jaxx, Monero и Bither, сканируя папки приложений по умолчанию.

Вряд ли вредоносное ПО Raccoon исчезнет в ближайшее время, поскольку недавно оно получило ряд обновлений от своих создателей, согласно сообщению в блоге Cyberark по этому вопросу, которое гласит:

«Как и другие предложения «как услуга», Raccoon все еще разрабатывается и поддерживается группой. С тех пор, как мы начали анализ этого образца, члены команды Raccoon улучшили стиллер и выпустили новые версии для сборки, в том числе возможность украсть учетные данные FTP-сервера из приложения FileZilla и учетные данные для входа в китайский браузер UC. Кроме того, была улучшена панель атакующего, исправлены некоторые проблемы с пользовательским интерфейсом, а авторы добавили возможность шифровать сборки прямо из панели и загружать ее в виде DLL».

Начав работать в ITProPortal, живя в Южной Корее, Энтони теперь пишет о кибербезопасности, веб-хостинге, облачных сервисах, VPN и программном обеспечении для TechRadar Pro. Помимо написания новостей, он также редактирует и загружает обзоры и статьи, а также тестирует многочисленные VPN из своего дома в Хьюстоне, штат Техас. Недавно Энтони присмотрелся к стоячим столам, офисным стульям и всевозможным другим предметам домашнего обихода. В свободное от работы время он возится с ПК и игровыми консолями, прокладывает кабели и модернизирует свой умный дом.

Что такое Raccoon Stealer?

Raccoon Stealer (также известный как Legion, Mohazo и Racealer) представляет собой троянское приложение с высокой степенью риска, которое скрытно проникает в систему и собирает личную информацию. Установка этого трояна на ваш компьютер может привести к различным проблемам. Кроме того, киберпреступники предлагают услуги этого трояна на хакерских форумах.

Поэтому любой начинающий киберпреступник может приобрести подписку и получать доход, неправомерно используя украденные данные.

Raccoon Stealer malware

Киберпреступники могут использовать его для перевода средств пользователей в криптокошельки и другие счета (например, PayPal, банковские счета и т. д.). Таким образом, жертвы могут потерять свои сбережения. Кроме того, взломанные аккаунты (например, Facebook, электронная почта и т. д.) могут быть использованы для заимствования денег.

Таким образом, жертвы могут накопить значительный долг. Кроме того, киберпреступники часто используют украденные контакты для распространения вредоносных программ, рассылая вредоносные ссылки/файлы всем контактам. Обратите внимание, что разработчики Raccoon Stealer стремятся получать доход от продажи собранных данных, а не от их неправильного использования.

То есть они предлагают услугу, которая позволяет "подписчикам" получать доступ к украденным данным. Разработчики Raccoon Stealer предоставляют панель администратора, которая позволяет подписчикам просматривать и загружать выбранную информацию (логи).

Raccoon Stealer — не первая (и, конечно, не последняя) вредоносная инфекция, которая продается на хакерских форумах, однако она достаточно уникальна, поскольку покупателю не нужно распространять какое-либо вредоносное ПО. Разработчики Raccoon Stealer несут ответственность за распространение, а подписчик получает доступ только к сохраненным данным, а не к вредоносным исполняемым файлам (вредоносным программам).

В других, более распространенных случаях, разработчики вредоносных программ продают вредоносные исполняемые файлы, которые затем должны распространяться покупателями. Таким образом, Raccoon Stealer получает значительное преимущество, так как это гораздо удобнее для подписчиков, которые ищут общие личные данные.

Разработчики Raccoon Stealer предлагают еженедельную/месячную подписку по цене 75/200 долларов США. Эта стоимость является низкой, если учесть доход, который потенциально может быть получен. Также стоит отметить, что Raccoon Stealer можно использовать в качестве инструмента для внедрения вредоносных программ.

Он может загружать и запускать дополнительные файлы, а это означает, что мошенники могут использовать его для заражения систем дополнительными вредоносными программами, например программами-вымогателями или криптомайнерами. К счастью, большинство антивирусных и антишпионских пакетов способны обнаруживать и устранять вредоносное ПО Raccoon Stealer.

Поэтому, если вы подозреваете присутствие Raccoon Stealer в вашей системе, немедленно просканируйте систему с помощью этого программного обеспечения и устраните все обнаруженные угрозы. Также смените пароли всех учетных записей. Имейте в виду, что использование одного и того же пароля для нескольких учетных записей очень небезопасно.

Кроме того, мы настоятельно рекомендуем вам использовать случайные комбинации прописных и строчных букв, цифр и (если возможно) символов, поскольку существующие слова и личную информацию (например, имя, фамилию, дату рождения) очень легко взломать.< /p>

В Интернете полно троянов, отслеживающих данные. Например Банлоад, Болик, Тофси, Видар, любые многие другие. Однако в большинстве случаев разработчики этих инфекций не предоставляют услуги доступа к украденным данным, как в случае с разработчиками Raccoon Stealer.

Как правило, киберпреступники неправомерно используют записанную информацию и получают доход, продавая вредоносные исполняемые файлы, чтобы покупатели могли заражать компьютеры других людей и собирать данные напрямую, без привлечения третьих лиц.

В любом случае наличие таких инфекций может привести к идентичным проблемам: значительным финансовым потерям, серьезным проблемам с конфиденциальностью и краже личных данных. Немедленно устраните все трояны, отслеживающие данные.

Как Raccoon Stealer проник в мой компьютер?

Известным средством распространения, используемым для распространения Raccoon Stealer, является Rig Exploit Kit (RigEK), который внедряет в системы трояна Smoke Loader. Это, в свою очередь, загружает и устанавливает Raccoon Stealer. Однако существует ряд других инструментов/методов, используемых для распространения этих троянов.

Список включает в себя сторонние источники загрузки программного обеспечения, рассылки спама по электронной почте, поддельные средства обновления программного обеспечения и взломщики, а также другие трояны (приводящие к цепным заражениям). Киберпреступники используют неофициальные источники загрузки (бесплатные веб-сайты для размещения файлов, одноранговые [P2P] сети, веб-сайты для загрузки бесплатных программ и т. д.) для распространения вредоносного ПО, представляя его как законное программное обеспечение.

Пользователей обманом заставляют вручную загружать/устанавливать вредоносное ПО. Спам-кампании также используются аналогичным образом. Киберпреступники рассылают сотни тысяч одинаковых электронных писем, содержащих вредоносные вложения (файлы/ссылки) и вводящие в заблуждение сообщения.

В сообщениях обычно вложения представляются как «важные документы» (счета, счета-фактуры, квитанции и т. п.), чтобы создать впечатление легитимности и заставить пользователей открыть их. Идея программного взлома заключается в бесплатной активации платного программного обеспечения, однако многие из этих инструментов являются поддельными.

Вместо того, чтобы предоставлять доступ к платным функциям, они просто внедряют вредоносное ПО в систему. Поддельные апдейтеры очень похожи. Эти инструменты не обновляют установленные приложения, а заражают компьютеры, используя ошибки/недостатки устаревшего программного обеспечения или просто загружая и устанавливая вредоносное ПО, а не обновления.

Наконец, трояны вызывают "цепные заражения". Эти вредоносные приложения скрытно проникают в компьютеры и, работая в фоновом режиме, загружают и устанавливают дополнительное вредоносное ПО (как правило, заражение с высокой степенью риска, например другие трояны). Таким образом, основными причинами компьютерных заражений являются незнание этих угроз и неосторожное поведение.

Как избежать установки вредоносных программ

Чтобы предотвратить такую ​​ситуацию, будьте осторожны при работе в Интернете, а также при загрузке/установке/обновлении программного обеспечения. Внимательно анализируйте все полученные вложения электронной почты. Если файл/ссылка неактуальны, ничего не открывайте. Вложения, полученные с подозрительных/неузнаваемых адресов электронной почты, следует игнорировать.

Загружайте программное обеспечение только из официальных источников, используя прямые ссылки для скачивания. Сторонние загрузчики/установщики часто используются для распространения вредоносных программ, поэтому следует избегать этих инструментов. То же самое относится и к обновлениям программного обеспечения.

Обновляйте установленные приложения и операционные системы, однако этого можно добиться только с помощью реализованных функций или инструментов, предоставленных официальным разработчиком. Программное пиратство — это киберпреступление, и риск заражения высок. Поэтому никогда не пытайтесь взломать какие-либо приложения.

То же самое относится и к загрузке уже взломанного программного обеспечения. Установите и запустите надежную антивирусную/антишпионскую программу.

Эти инструменты обнаруживают и удаляют вредоносное ПО до того, как система пострадает. Ключом к компьютерной безопасности является осторожность. Если вы считаете, что ваш компьютер уже заражен, мы рекомендуем запустить сканирование с помощью Combo Cleaner Antivirus для Windows, чтобы автоматически удалить проникшие вредоносные программы.

Скриншоты админ-панели Raccoon Stealer для подписчиков:

Скриншот хакерского форума, который использовался для продвижения Raccoon Stealer как сервиса:

Разработчики продвигают Raccoon Stealer на хакерском форуме

Имена обнаружения Raccoon Stealer в различных базах данных вредоносных программ, перечисленных VirusTotal:

Raccoon Stealer в VirusTotal

Обновление от 7 апреля 2020 г. Киберпреступники, использующие Raccoon Stealer, применяют новые методы, чтобы избежать обнаружения. После заражения вредоносное ПО сначала подключается к URL-адресу Google Диска и инициирует цепочку, чтобы обеспечить утечку данных на командный и контрольный сервер преступников.

Киберпреступники используют облачные сервисы Google для размещения некоторых своих серверов управления и контроля, тем самым маскируя свой трафик под законный и исходящий от Google. Кроме того, было замечено, что Raccoon Stealer распространяется с помощью спам-кампании на тему секс-вымогательств.

Скриншот письма "Аккаунт вашего друга был взломан", которое использовалось для распространения Raccoon Stealer:

Электронная почта, используемая для распространения Raccoon Stealer

Текст, представленный в этом письме:

Привет, мы хакерская группа Red Skull. У нас есть доступ к почтовому ящику одного человека, и вы есть в его контактах. В его почте мы нашли фотографии его обнаженной жены и запросили за них 500 долларов. На случай, если он проигнорирует нас, мы гарантировали ему, что направим эти фотографии всем его контактам. К сожалению, он не заплатил, и, поскольку вы были на его почте, вы получили это сообщение. Вы найдете эти фотографии прикрепленными к этому письму.

Обновление от 10 апреля 2020 г. Было замечено распространение Raccoon Stealer с использованием поддельного веб-сайта Malwarebytes. Этот сайт замаскирован под официальную веб-страницу корпорации Malwarebytes, разработчика одноименного антивирусного программного обеспечения. Мошеннический сайт использует часть кода легитимного сайта с некоторыми вредоносными дополнениями.

Скриншот поддельного веб-сайта Malwarebytes, используемого для распространения Raccoon Stealer:

Поддельный веб-сайт malwarebytes, используемый для распространения Raccoon Stealer

private-virtual.online продвигает Raccoon Stealer как VPN-приложение

Пример вредоносного документа MS Excel (распространяемого через спам-рассылки), предназначенного для внедрения в систему вредоносного ПО Raccoon Stealer:

Raccoon Stealer распространяет вредоносное ПО в документе MS Excel

Еще один пример вредоносного документа MS Excel, предназначенного для внедрения Raccoon Stealer:

Raccoon Stealer распространяет вредоносное ПО в документе MS Excel

Raccoon Stealer, распространяющий документ MS Word

Быстрое меню:

Как удалить вредоносное ПО вручную?

Удаление вредоносного ПО вручную — сложная задача. Обычно лучше позволить антивирусным или антивредоносным программам делать это автоматически.

Для удаления этой вредоносной программы мы рекомендуем использовать Combo Cleaner Antivirus для Windows. Если вы хотите удалить вредоносное ПО вручную, первым шагом будет определение имени вредоносного ПО, которое вы пытаетесь удалить. Вот пример подозрительной программы, работающей на компьютере пользователя:

вредоносный процесс, запущенный пользователем

Если вы проверили список программ, запущенных на вашем компьютере, например, с помощью диспетчера задач, и обнаружили подозрительную программу, выполните следующие действия:

Загрузите программу Autoruns. Эта программа показывает автоматически запускаемые приложения, реестр и расположение файловой системы:

скриншот приложения автозапуска

Перезагрузите компьютер в безопасном режиме:

Пользователи Windows XP и Windows 7: запустите компьютер в безопасном режиме. Нажмите «Пуск», нажмите «Выключить», нажмите «Перезагрузить», нажмите «ОК». Во время запуска компьютера несколько раз нажимайте клавишу F8 на клавиатуре, пока не появится меню «Дополнительные параметры Windows», а затем выберите в списке «Безопасный режим с поддержкой сети».

Безопасный режим с поддержкой сети

Видео, показывающее, как запустить Windows 7 в "Безопасном режиме с поддержкой сети":

Пользователям Windows 8: Запустите Windows 8 в безопасном режиме с поддержкой сети. Перейдите на начальный экран Windows 8, введите «Дополнительно», в результатах поиска выберите «Настройки». Нажмите Дополнительные параметры запуска, в открывшемся окне «Общие параметры ПК» выберите Расширенный запуск.

Нажмите кнопку "Перезапустить сейчас". Теперь ваш компьютер перезагрузится в «Дополнительное меню параметров запуска». Нажмите кнопку «Устранение неполадок», а затем нажмите кнопку «Дополнительные параметры». На экране дополнительных параметров нажмите «Параметры запуска». Нажмите кнопку «Перезагрузить». Ваш компьютер перезагрузится и откроется экран параметров запуска. Нажмите F5, чтобы загрузиться в безопасном режиме с поддержкой сети.

Видео, показывающее, как запустить Windows 8 в "Безопасном режиме с поддержкой сети":

Пользователям Windows 10: щелкните логотип Windows и выберите значок питания. В открывшемся меню нажмите «Перезагрузить», удерживая кнопку «Shift» на клавиатуре. В окне «Выберите вариант» нажмите «Устранение неполадок», затем выберите «Дополнительные параметры». В меню дополнительных параметров выберите «Параметры запуска» и нажмите кнопку «Перезагрузить».

В следующем окне нажмите кнопку "F5" на клавиатуре. Это перезапустит вашу операционную систему в безопасном режиме с поддержкой сети.

безопасный режим Windows 10 с сетью

Видео, показывающее, как запустить Windows 10 в «Безопасном режиме с поддержкой сети»:

Извлеките загруженный архив и запустите файл Autoruns.exe.

извлеките autoruns.zip и запустите autoruns.exe

В приложении Autoruns нажмите «Параметры» вверху и снимите флажки с параметров «Скрыть пустые места» и «Скрыть записи Windows». После этой процедуры нажмите значок «Обновить».

Click

Просмотрите список, предоставленный приложением Autoruns, и найдите вредоносный файл, который вы хотите удалить.

Вы должны записать его полный путь и имя. Обратите внимание, что некоторые вредоносные программы скрывают имена процессов под законными именами процессов Windows. На этом этапе очень важно избегать удаления системных файлов. После того, как вы найдете подозрительную программу, которую хотите удалить, щелкните правой кнопкой мыши ее имя и выберите "Удалить".

найдите нужный файл вредоносного ПО удалить

После удаления вредоносного ПО с помощью приложения Autoruns (это гарантирует, что вредоносное ПО не запустится автоматически при следующем запуске системы), вам следует выполнить поиск имени вредоносного ПО на своем компьютере. Обязательно включите скрытые файлы и папки, прежде чем продолжить. Если вы найдете имя файла вредоносного ПО, обязательно удалите его.

поиск файла вредоносного ПО на вашем компьютер

Перезагрузите компьютер в обычном режиме. Выполнение этих шагов должно удалить все вредоносные программы с вашего компьютера. Обратите внимание, что удаление угроз вручную требует продвинутых навыков работы с компьютером. Если у вас нет этих навыков, оставьте удаление вредоносного ПО антивирусным и антивредоносным программам.

Эти шаги могут не сработать при продвинутом заражении вредоносным ПО. Как всегда, лучше предотвратить заражение, чем потом пытаться удалить вредоносное ПО. Чтобы обезопасить свой компьютер, установите последние обновления операционной системы и используйте антивирусное программное обеспечение.

Чтобы убедиться, что ваш компьютер не заражен вредоносными программами, мы рекомендуем сканировать его с помощью Combo Cleaner Antivirus для Windows.

Об авторе:

Томас Мескаускас — эксперт по безопасности, профессиональный аналитик вредоносного ПО.

Портал безопасности PCrisk создан компанией RCS LT. Объединенные усилия исследователей безопасности помогают информировать пользователей компьютеров о последних угрозах безопасности в Интернете. Подробнее о компании RCS LT.

Наши руководства по удалению вредоносных программ бесплатны. Однако, если вы хотите поддержать нас, вы можете отправить нам пожертвование.

PCrisk — это портал кибербезопасности, информирующий пользователей Интернета о последних цифровых угрозах. Наш контент предоставляется экспертами по безопасности и профессиональными исследователями вредоносных программ. Узнайте больше о нас.

racoon

Исследователи компании Sophos, занимающейся кибербезопасностью, отследили вредоносное ПО для кражи информации, получившее название Raccoon Stealer, или мусорную панду, как часто называют енотов. Raccoon Stealer не является самостоятельным сервисом, и его операторы арендуют его как услугу. Его разработчики распространяли вредоносное ПО среди преступников не менее двух лет.

«Поскольку большая часть повседневной и профессиональной жизни теперь зависит от услуг, предоставляемых через веб-браузер, операторы вредоносных программ для кражи информации все чаще нацеливаются на сохраненные веб-учетные данные, которые предоставляют доступ к гораздо большему, чем они могли бы получить, просто похитив сохраненный пароль. хэши», — заявил в пресс-релизе Шон Галлахер, старший исследователь угроз в Sophos.

Обычно Raccoon Stealer распространяется через спам по электронной почте, но исследователи также обнаружили, что он распространяется через дропперы, которые операторы вредоносных программ замаскировали под установщики взломанного программного обеспечения. Эти дропперы объединяют Raccoon Stealer с дополнительными инструментами для атак, включая вредоносные расширения для браузера, боты для мошенничества с кликами на YouTube и Djvu/Stop, программы-вымогатели, нацеленные в первую очередь на домашних пользователей.

«Актеры кампании также использовали поисковую оптимизацию, чтобы повысить вероятность того, что люди, ищущие определенный программный пакет, посетят вредоносные сайты. Поиск по запросу «[название программного продукта] Crack» в Google возвращает ссылки на веб-сайты, которые претендуют на то, чтобы обеспечить загрузку программного обеспечения с обходом лицензионных требований», — показало исследование.

«Благодаря недавнему обновлению «клипера», которое изменяет буфер обмена или информацию о месте назначения для транзакции криптовалюты, Raccoon Stealer теперь также нацелен на криптокошельки и может извлекать или загружать файлы, например дополнительное вредоносное ПО, в зараженных системах. — сказал Галлахер.

Это отличается от программ-вымогателей или любых других более изощренных криминальных вредоносных операций. Нет никакой проверки покупателей — их может купить кто угодно, независимо от его репутации в криминальном мире.

«Такие сервисы, как Raccoon, позволяют начинающим киберпреступникам завоевывать репутацию, которая позволяет им подписываться или приобретать более совершенные вредоносные программы у более эксклюзивных поставщиков», — показывают исследования Sophos.

По словам исследователей, операторы Raccoon Stealer также впервые использовали службу чата Telegram для командно-административной связи. По словам Галлахера, похитители информации занимают важную нишу в экосистеме киберпреступности: они обеспечивают быструю окупаемость инвестиций и представляют собой простую и дешевую точку входа для более серьезных атак.

«Киберпреступники часто продают украденные учетные данные на «темных» торговых площадках, позволяя другим злоумышленникам, в том числе операторам программ-вымогателей или брокерам первоначального доступа, использовать их в своих преступных целях, например для проникновения в корпоративную сеть через службу чата на рабочем месте. . Или злоумышленники могут использовать учетные данные для дальнейших атак, нацеленных на других пользователей на той же платформе. Существует постоянный спрос на украденные учетные данные пользователей, особенно учетные данные, обеспечивающие доступ к законным службам, которые злоумышленники могут использовать для размещения или распространения большего количества вредоносного ПО. Похитители информации могут выглядеть как угрозы более низкого уровня, но это не так», — сказал Галлахер.

По словам исследователей, разработчики Raccoon Stealer жестко контролируют, кто получает доступ к их вредоносным программам. Они размещают доступ к любым ботам, которых их клиенты развертывают через веб-панель на основе Tor. Каждый исполняемый файл их вредоносного ПО имеет подпись, связанную с клиентом, поэтому, если образец их вредоносного ПО появляется на VirusTotal или других вредоносных сайтах, они могут отследить его до клиента, который мог его утечь.

Читайте также: