A Sophos biztonsági cég új kutatása a Raccoon Stealer nevű kértevő működését részletezi, ami egy kalózszoftvernek álcázott tolvajprogram. A kártékony kód kriptovalutákat és információkat lop, miközben káros tartalmakat helyez el a célzott rendszereken, például kriptobányász eszközöket.
A Raccoon Stealer jelszavakat, sütiket és a weboldalakon használt, elmentett, automatikusan kitöltésre kerülő szövegeket lop, beleértve a hitelkártya adatokat és más személyes azonosító információkat, melyeket a böngésző eltárolhat. Egy új „clipper” frissítésnek köszönhetően, amely megváltoztatja egy kriptovaluta tranzakció vágólapját vagy célinformációit, a Raccoon Stealer már kriptotárcákat is támad és képes fájlok megszerzésére, illetve betöltésére is a fertőzött rendszereken – például további vírus elhelyezésére. Ez rengeteg könnyen pénzzé tehető lehetőség a digitális bűnözők számára egy olyan szolgáltatástól, amelyet 75 dollárért lehet egy hétre „kibérelni” – írja közleményében a biztonsági cég.
A Sophos által vizsgált kampány esetében azonban olyan droppereken keresztül juttatják célba, amelyet a működtetők tört szoftvertelepítőknek álcáznak. Ezek a dropperek a Raccoon Stealert további támadó eszközökkel csomagolják össze, melyek közé káros böngésző-kiegészítők, kattintásos-átveréses Youtube botok és az elsősorban otthoni felhasználókat célzó Djvu/Stop zsarolóvírus is tartozik. A Sophos kutatói szerint a Raccoon Stealer kampány mögött álló operátorok először használták a Telegram chat szolgáltatást a vezérléshez használt kommunikációra.
A digitális bűnözők gyakran fekete piactereken adják el a lopott hitelesítő adatokat, lehetővé más támadóknak, beleértve zsarolóvírus üzemeltetőknek és Initial Access Brokereknek, hogy azokat a saját illegális szándékaik megvalósításához használják fel – például a munkahelyi chat szolgáltatáson keresztül betörhessenek a vállalati hálózatra. Vagy a csalók a hitelesítő adatokat további támadásokhoz használják fel, melyekkel ugyanazon a platformon más felhasználókat céloznak meg. Folyamatos kereslet van az ellopott felhasználói hitelesítő adatokra – különösen a legitim szolgáltatásokhoz hozzáférést biztosító azonosítókra, amelyeket a támadók vírus egyszerű hosztolására vagy további terjesztésére használhatnak. Az információtolvaj eszközök alsóbbrendű fenyegetéseknek tűnhetnek, ám nem azok.
A Sophos azt javasolja azoknak szervezeteknek, melyek a munkahelyi chathez és kollaborációhoz online szolgáltatásokat használnak, hogy alkalmazzanak többlépcsős azonosítást a dolgozók fiókjainak védelméhez. Továbbá biztosítsák azt, hogy az alkalmazottak naprakész vírus elleni védelemmel rendelkezzenek bármely digitális eszközükön, amelyekről távolról hozzáférnek a munkához kapcsolódó szolgáltatásokhoz.
