Специалисты Cybereason Nocturnus предупредили о росте популярности инфостилера Raccoon, который, по данным компании, уже входит в десятку наиболее востребованных вредоносов на черном рынке.
Raccoon появился в начале 2019 года и с апреля активно распространяется через андеграундные форумы по схеме малварь-как-услуга (malware-as-a-service, MaaS). Исследователи отмечают, что в последние месяцы востребованность вредоноса постепенно росла, и к настоящему моменту он заразил уже сотни тысяч систем в Северной Америке, Европе и Азии. Жертвами этих атак становятся как частные лица, так и организации.
В код Raccoon встроен своеобразный «предохранитель»: малварь проверяет настройки машины жертвы и немедленно прекращает работу, если система использует использует русский, украинский, белорусский, казахский, киргизский, армянский, таджикский или узбекский языки. Эксперты отмечают, что это обычная практика для вредоносных программ, созданных в странах СНГ, и обычно такое поведение указывает, что малварь создана в России. Еще одна «улика», подтверждающая эту теорию: поддержка MaaS осуществляется на русском и английском языках, однако английский определенно не является родным для создателей малвари.
По данным исследователей, MaaS Raccoon обладает такими «преимуществами», как простая в использовании панель управления, пуленепробиваемый хостинг и круглосуточная поддержка клиентов на русском и английском языках. На момент написания отчета использование малвари стоило 200 долларов в месяц.
На машины жертв Raccoon проникает используя эксплоит-киты, фишинговые письма или при помощи другой малвари, уже проникшей в систему. К примеру, Racoon распространялся через набор эксплоитов Fallout.
Аналитики отмечают, что Raccoon вряд ли можно назвать сложной угрозой. Так, все данные, которые вредонос похищает, сначала сохраняются локально, в папке Temp. Затем они собираются в файл ZIP и отправляются на управляющий сервер злоумышленников. В частности, малварь интересуют следующая информация:
- снимки экрана;
- системная информация (имя пользователя, IP-адрес, языковые настройки, версия ОС, информация об установленных приложениях, а также информация о процессоре и памяти);
- учетные данные;
- файлы cookie;
- данные автозаполнения из 33 различных браузеров (могут включать данные кредитных карт);
- содержимое реестра;
- информация о криптовалютных кошельках.
Фактически, единственное, чего не хватает в этом наборе – кейлоггера, и разработчики Racoon уже сообщали своим клиентам, что работают над этим.
Специалисты Cybereason Nocturnus не знают, кто именно стоит за созданием Racoon, но предполагают, что к разработке вредоноса приложил руку некий gladOff. По словам исследователей, он занимается разработкой малвари уже много лет и ответственен за создание таких вредоносов, как майнеры Decrux и Acrux, Mimosa RAT и загрузчика ProtonBot. Фактически gladOff специализируется на разработке простых в использовании end-to-end решений. По информации экспертов, он работает не один, а с группой наемных сотрудников (но не имеет тесных связей с конкретной хак-группой).
Аналитики называют Racoon приметой времени, ведь подобные MaaS решения становятся все популярнее, и они вовсе необязательно должны быть сложными, достаточно и того, что они выполняют свою функцию. Эксперты ожидают, что в грядущем 2020 году этот тренд сохранится, и MaaS продолжит развиваться и далее.