in

Racoon Malware: Κλέβει τα δεδομένα σας από σχεδόν 60 εφαρμογές


Ένα κακόβουλο λογισμικό με το όνομα Racoon , που είναι σχετικά νέο στα φόρουμ του dark web, μπορεί να εξαγάγει ευαίσθητα δεδομένα από περίπου 60 εφαρμογές.

Στα πιο βαθιά στρώματα του ιστού μπορεί κανείς να βρει οτιδήποτε έχει να κάνει με κακόβουλο λογισμικό. Η αγορά εκεί μεταβάλλεται διαρκώς και έτσι malware πoυ πριν λίγα χρόνια κόστιζαν ακριβά, σήμερα είναι διαθέσιμα για μια μέτρια τιμή, συγκριτικά με αυτό που μπορούν να προσφέρουν και το πολύ πλούσιο σύνολο χαρακτηριστικών που διαθέτουν. Σε αυτήν την κατηγορία κατατάσσεται και το Racoon . Ένα malware που εμφανίστηκε για πρώτη φορά σχεδόν πριν από ένα χρόνο και κέρδισε γρήγορα δημοτικότητα, λόγω των γενναιόδωρων χαρακτηριστικών και της μετέπειτα χαμηλής τιμής του.

Είναι επίσης γνωστό και ως Legion ή Mohazo ή Racealer. Το κακόβουλο λογισμικό Racoon προωθήθηκε αρχικά μόνο σε ρωσόφωνα φόρουμ του Dark Web, αλλά σύντομα έκανε την είσοδό του και στον αγγλόφωνο χώρο. Πρωτοεμφανίστηκε τον Απρίλιο του 2019 και διανεμήθηκε ως μοντέλο MaaS (malware-as-a-service = κακόβουλο λογισμικό υπό ενοικίαση) για $ 75 / εβδομάδα ή $ 200 / μήνα.

Με αυτά τα χρήματα, οι επιτιθέμενοι αποκτούν πρόσβαση σε έναν πίνακα διαχείρισης του Racoon που τους επιτρέπει να το προσαρμόσουν κατά τα γούστα τους, να αποκτήσουν πρόσβαση σε κλεμμένα δεδομένα και να κατεβάσουν τα builds του κακόβουλου λογισμικού.

Το μοντέλο αυτό υιοθετείται ευρέως σήμερα, διότι ανοίγει την πόρτα σε μεγαλύτερο αριθμό πελατών που θέλουν να δοκιμάσουν την τύχη τους σαν εγκληματίες του κυβερνοχώρου, πολλοί όμως από τους οποίους δεν διαθέτουν τις κατάλληλες τεχνικές γνώσεις, αλλά έτσι μπορούν και αποσβένουν την επιχειρηματική δραστηριότητα.

Μια ανάλυση από την CyberArk διαπίστωσε ότι είναι γραμμένο σε C ++ και απέχει πολύ από το να είναι ένα πολύπλοκο εργαλείο. Ωστόσο, μπορεί να κλέψει ευαίσθητες και εμπιστευτικές πληροφορίες από σχεδόν 60 προγράμματα (προγράμματα περιήγησης, πορτοφόλια κρυπτογράφησης, ηλεκτρονικό ταχυδρομείο και πελάτες FTP).

Όλα τα δημοφιλή προγράμματα περιήγησης (Google Chrome, Mozilla Firefox, Microsoft Edge, Internet Explorer, Opera, Vivaldi, Waterfox, SeaMonkey, UC Browser) βρίσκονται στον κατάλογο των στόχων του, κλέβοντας τα cookies, το ιστορικό και πληροφορίες αυτόματης συμπλήρωσης.

Στο στόχαστρο είναι επίσης και οι cryptocurrency εφαρμογές όπως το Electrum, Ethereum, Exodus, Jaxx και Monero, στις οποίες ψάχνει για τα αρχεία πορτοφολιού στις προεπιλεγμένες τους θέσεις. Ωστόσο, το Racoon μπορεί επίσης να σαρώσει το σύστημα για να αρπάξει αρχεία wallet.dat ανεξάρτητα από το πού αποθηκεύονται.

Στην κατηγορία του ηλεκτρονικού ταχυδρομείου, το Racoon ψάχνει για δεδομένα τουλάχιστον στα Thunderbird, Outlook και Foxmail. Σε μια σημερινή έκθεση τους οι ερευνητές του CyberArk αναφέρουν ότι αυτός ο “κλέφτης πληροφοριών” χρησιμοποιεί την εξής διαδικασία για να κλέψει τα δεδομένα: εντοπίζει και αντιγράφει τα αρχεία με τις ευαίσθητες πληροφορίες, εφαρμόζει σε αυτά ρουτίνες αποκρυπτογράφησης και μετά τα τοποθετεί τις πληροφορίες σε ένα αρχείο κειμένου. Αφού εκπληρώσει όλες τις δυνατότητες κλοπής του, συγκεντρώνει όλα τα αρχεία που έγραψε στο φάκελο temp σε ένα αρχείο zip που ονομάζεται Log.zip. Στην συνέχεια αποστέλλει το Log.zip σε ένα C&C server.

Οι πρόσθετες δυνατότητες του κακόβουλου λογισμικού περιλαμβάνουν τη συλλογή λεπτομερειών συστήματος (έκδοση και αρχιτεκτονική του λειτουργικού συστήματος, γλώσσα, πληροφορίες υλικού, απαρίθμηση εγκατεστημένων εφαρμογών).

Οι επιτιθέμενοι μπορούν επίσης να προσαρμόσουν το αρχείο ρυθμίσεων του Raccoon για να τραβήξουν φωτογραφίες από τις οθόνες των μολυσμένων συστημάτων. Επιπλέον, το κακόβουλο λογισμικό μπορεί να λειτουργήσει ως dropper για άλλα κακόβουλα αρχεία, μετατρέποντάς το ουσιαστικά σε ένα εργαλείο επίθεσης stage-one.

Όπως όλα τα κακόβουλα προγράμματα που έχουν μεγάλη δημοτικότητα, το Racoon βελτιώνεται ενεργά με διορθώσεις για διάφορα θέματα, νέες λειτουργίες και δυνατότητες.

Αναλύοντας ένα δείγμα, οι ερευνητές παρατήρησαν ότι έχουν κυκλοφορήσει νέες εκδόσεις, οι οποίες επεκτείνουν την υποστήριξη για στοχοθετημένες εφαρμογές, προσθέτοντας τα FileZilla και UC Browser. Επιπλέον προστέθηκε η επιλογή κρυπτογράφησης του κακόβουλου λογισμικού απευθείας από τον πίνακα διαχείρισης και τη λήψη του σε μορφή DLL.

Το Racoon δεν χρησιμοποιεί ειδικές τεχνικές για την απόσπαση πληροφοριών από τα στοχοθετημένα προγράμματα, αλλά είναι ένα από τα πιο δημοφιλή infostealers σε φόρουμ για κυβερνοεγκληματίες. Η Recorded Future σημειώνει σε μια έκθεση τον Ιούλιο του 2019 ότι είχε τις καλύτερες πωλήσεις κακόβουλων προγραμμάτων στην υπόγεια οικονομία.

Τρεις μήνες αργότερα, οι ερευνητές του Cybereason ανακοίνωσαν ότι το κακόβουλο λογισμικό απολάμβανε θετικές κριτικές από την κοινότητα, καθώς πολλοί κυβερνοεγκληματίες το επαινούν και το επικροτούν, με τα πιο μεγάλα ονόματα όμως, από αυτούς, να το επικρίνουν για την απλότητα του και την έλλειψη χαρακτηριστικών που υπάρχουν στα εργαλεία του ίδιου τύπου.

Ωστόσο, παρά την απλότητα του Racoon , έχει εξαπλωθεί σε εκατοντάδες χιλιάδες υπολογιστές σε ολόκληρο τον κόσμο. Αυτό σημαίνει ότι τα τεχνικά χαρακτηριστικά δεν είναι απαραιτήτως αυτό που κάνει τους επιτιθέμενους να επιλέγουν ένα κακόβουλο εργαλείο, αλλά ουσιαστικά μια καλή ισορροπία μεταξύ τιμής, προσβασιμότητας και δυνατοτήτων.

 


 

Εγγραφή στο Ιστολόγιο μέσω Email

Εισάγετε το email σας για εγγραφή στην υπηρεσία αποστολής ειδοποιήσεων μέσω email για νέες δημοσιεύσεις.

Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news