Raccoon Stealer

Raccoon - это вредоносная программа для кражи информации, доступная в виде услуги Malware as a Service. Его можно получить по подписке, стоимость которой составляет 200 долларов США в месяц. Вредоносная программа Raccoon уже заразила более 100 000 устройств и стала одним из самых упоминаемых вирусов на подпольных форумах в 2019 году.

Raccoon - это вредоносная программа для кражи информации - вирус, который субъекты угроз используют для получения конфиденциальных данных с зараженных машин. Также известная как Mohazo и Racealer, это современная вредоносная программа, которая впервые была замечена в 2019 году.

Хотя некоторые считают его относительно простым вредоносным ПО, отличный сервис от создателей, которые распространяют его как вредоносное ПО как услугу, и удобная, упрощенная приборная панель помогли сделать Raccoon довольно популярным. Фактически, вредоносная программа уже успела заразить до 100 000 устройств и стала одним из самых упоминаемых вирусов в хакерских сообществах.

Общее описание вредоносной программы Raccoon

Вредоносная программа Raccoon обладает достаточно базовыми функциями кражи информации, как RedLine, и сама по себе не имеет какой-либо антивирусной защиты. Также отсутствуют функции, которые могли бы усложнить анализ вредоносной программы. Однако разработчики Raccoon рекомендуют использовать сторонний криптопровайдер.

Что касается основных функций, то этот вирус, в зависимости от конфигурации, включенной злоумышленником, может проверять системные настройки, делать скриншоты, собирать основную информацию, такую как версия ОС, IP и имя пользователя, а также красть пароли и логины от различных браузеров. Кроме того, крадун может извлекать информацию из Microsoft Outlook, а также красть криптовалютные кошельки.

По окончании процесса сбора данных они упаковываются в архив .ZIP, который затем отправляется на сервер злоумышленников.

Описанные выше функции являются довольно базовыми, однако, как сообщается, отличный сервис, предоставляемый создателями вредоносного ПО, помог сделать этот вирус довольно популярным. Команда, стоящая за этим вирусом, постоянно вносит улучшения и исправления, основываясь на отзывах пользователей.

Предоставив простую в использовании панель управления, разработчики Raccoon позаботились о том, чтобы даже злоумышленники, не обладающие техническими навыками, могли успешно работать с этим вредоносным ПО, без труда настраивая его конфигурацию. Результат - сотни тысяч зараженных жертв за считанные месяцы с момента выпуска вредоносной программы.

Кстати, о команде, стоящей за Raccoon. Личности людей, стоящих за этим вирусом, остаются загадкой, однако известно, что некоторые известные члены хакерского сообщества имеют связи с этим вирусом. Есть основания полагать, что один из тех, кто стоит за Raccoon, известен в интернет-сообществе как glad0ff. Давно известный хакер, ответственный за разработку множества вредоносных программ, таких как майнеры криптовалют и RAT.

Однако, похоже, что он работает не один, поскольку в сеть просочилась информация о спорах внутри команды. Например, в одном из сообщений некто обвиняет другого участника в краже с общего счета, уходе из проекта и попытке мошенничества.

Есть также основания полагать, что Raccoon был разработан русскоязычными хакерами. На это указывают ошибки в английском языке, обнаруженные в панели управления, а также тот факт, что вредоносная программа прекращает выполнение, если обнаруживает, что жертва является жителем России, Украины, Беларуси, Казахстана, Кыргызстана, Армении Таджикистана или Узбекистана. Кроме того, техническая поддержка доступна на русском и английском языках, что также указывает на возможное происхождение злоумышленников из СССР.

Процесс выполнения Raccoon

Поскольку вредоносная программа Raccoon является довольно стандартным примером вредоносной программы типа stealer, ее процесс выполнения не особо выделяется. В нашем анализе, после того как вредоносная программа проникала в зараженную систему (неважно, какой способ доставки она использовала), она загружала дополнительные модули из Интернета. Эти модули в основном представляют собой DLL-зависимости, которые необходимы Raccoon для корректной работы. После этого вредоносная программа начинала красть информацию из браузеров и системы и сохраняла украденные данные в архивном файле. Этот файл, в свою очередь, отправлялся на C2-сервер. Вероятно, это тот самый C&C-сервер, в который он был встроен. Обратите внимание, что некоторые версии вредоносной программы Raccoon удаляют себя после выполнения, а другие - нет.

Распространение Raccoon stealer

Вредоносная программа Raccoon stealer распространяется по нескольким каналам, например, через браузеры, однако наиболее популярным методом уничтожения является использование наборов эксплойтов. Злоумышленники могут даже управлять конфигурацией кампании через панель управления. Вредоносная программа использует в основном набор эксплойтов Fallout. Этот способ доставки позволяет заразить жертву даже без активного взаимодействия с пользователем - жертвы заражаются во время простого веб-серфинга.

Вредоносная программа также попадает на ПК жертв из вложений документов Microsoft Office, которые распространяются в почтовых спам-кампаниях. В зараженном документе содержится макрос, который при активации загружает вредоносную программу.

Кроме того, хакеры создали аккаунт Dropbox, где вредоносная программа хранится в файле .IMG. Злоумышленники используют социальную инженерию, чтобы обманом заставить жертву открыть вредоносный URL-адрес и загрузить зараженный файл.

Наконец, последний метод распространения - это "вредоносное ПО в комплекте". Когда пользователи загружают настоящее программное обеспечение с подозрительных веб-сайтов, иногда Raccoon поставляется как нежелательная часть пакета в комплекте с легитимной программой.

Заключение

Хотя вредоносная программа Raccoon не является очень технически продвинутой вредоносной программой, как Ursnif или Hawkeye, Raccoon, безусловно, наделала много шума в андеграундном сообществе в 2019 году, когда она была впервые выпущена. Доступная как услуга за 200 долларов в месяц, она была оснащена всем необходимым для начала атаки вредоносного ПО. И если клиент не мог сделать это самостоятельно, он всегда мог получить поддержку от команды, стоящей за этим вредоносным ПО.

На самом деле, подпольные форумы полны восторженных отзывов об отличной работе сотрудников службы поддержки Raccoon. Некоторые даже говорят, что с ними обращались как с настоящими VIP-персонами.

Разработчики также показали, что они способны выпускать обновления очень тихо, и обещают в ближайшем будущем дополнить вредонос функцией Keylogger.

Хотя техническая простота делает эту угрозу относительно легкой для защиты на данный момент, растущая популярность, чрезвычайная простота использования и потенциальное будущее усовершенствование определенно говорят о том, что эта вредоносная программа может стать большим явлением. Некоторые даже говорят, что Raccoon заменит Azorult.

Поделиться с друзьями
SEC-1275-1