Разработчик инфостилера Raccoon, способного похищать данные из десятков приложений, запустил свое творение на собственной машине, чтобы проверить новые функции. В итоге его данные стали доступны ИБ-специалистам, и те смогли лучше узнать о деятельности преступника.
Когда разработчик малвари заразил собственную систему, его данные были переданы на управляющий сервер Raccoon. Заражение тестовой системы разработчика Raccoon было обнаружено с помощью платформы Hudson Rock Cavalier, которая отслеживает взломанные машины.
Представители Hudson Rock рассказали журналистам Bleeping Computer, что на счету Raccoon более миллиона скомпрометированных систем, которые специалисты отслеживают через Cavalier. Собственную машину разработчик заразил еще в феврале, и сначала этот инцидент остался незамеченным, так как заражение не представляло интереса, а взломанная система не принадлежала клиентам компании.
Внимание исследователей в итоге привлек IP-адрес 1.1.1.1, специально измененный на управляющем сервере, чтобы не «засветить» реальный адрес. Данный IP-адрес обычно используется Cloudflare.
Данные, собранные в зараженной системе, показывают, что разработчик проверял способность Raccoon извлекать пароли из Google Chrome. Дополнительная информация, полученная с тестового компьютера, включала имя и несколько адресов электронной почты, связанных с малварью (например, адреса содержат строки «raccoon» или «raccoonstealer», то есть, скорее всего, используются для общения с клиентами).
Исследователи говорят, что этих данных, к сожалению, не хватит, чтобы определить личность разработчика Raccoon, так как хакер был достаточно осторожен и перед запуском малвари удалил любые детали, которые могли бы раскрыть его личность. К примеру, среди данных эксперты обнаружили имя Бенджамина Энгеля, главного героя немецкого хакерского фильма 2014 года «Кто я».
Также в тестовой системе разработчика были файлы cookie, указывающие, что он заходил на русскоязычный форум, популярный среди хакеров. Эксперты сравнили идентификатор в файле cookie, созданном при входе на форум, с идентификатором, привязанным к учетной записи Raccoon stealer на этом ресурсе.
