Raccoon Stealer ottiene un aggiornamento, propaga malware aggiuntivo

Raccoon Stealer è il nome di un malware ladro di criptovalute e una piattaforma gestita su un modello malware-as-a-service dalle persone che gestiscono Raccoon. Il malware ha appena ricevuto un nuovo aggiornamento, che i ricercatori di sicurezza che lavorano con Sophos hanno selezionato e pubblicato un'analisi dei loro risultati.

Racoon Stealer viene venduto principalmente su siti Web di hacking russi sotterranei ed è inteso come una soluzione rapida e semplice per aspiranti hacker che non possono davvero codificare il proprio malware da zero e sono disposti a pagare per utilizzare un prodotto esistente. L'ultimo aggiornamento ha cambiato una serie di cose sul malware, come indicato da Sophos.

Sembra che Raccoon Stealer si stia lentamente allontanando dalla propagazione attraverso e-mail dannose e che stia gradualmente cercando di ottenere trazione nelle pagine dei risultati di ricerca di Google, quando la query di ricerca riguarda software crackato o piratato. Questa non è la prima volta che viene trovato malware a piggy back in false crack di software a pagamento, ma mostra un notevole sforzo da parte degli sviluppatori di Raccoon per ottimizzare sufficientemente le loro pagine dannose in modo da classificarle così in alto nelle ricerche di Google simili a "cracked X" o "Y keygen".

Una volta scaricato il falso file crackato, le vittime eseguono davvero un contagocce. Durante il processo di infezione, i dropper e gli eseguibili in essi contenuti recuperano file di archivio autoestraenti. Sophos ha scoperto che sembravano avere firme provenienti da strumenti come 7zip o WinZip, ma le intestazioni dei file sono state modificate o le firme sono state in qualche modo falsificate, poiché quegli strumenti di archiviazione non possono aprire o estrarre gli archivi dannosi.

I diversi tipi di payload finale che il contagocce Raccoon Stealer può fornire varia e include malware cryptominer, cryptostealer che monitorano le stringhe degli appunti e sostituiscono le stringhe del portafoglio trovate con quelle degli hacker, nonché estensioni del browser dannose.

Il clipboard clipboard che scambia silenziosamente le stringhe del portafoglio e reindirizza efficacemente tutte le transazioni effettuate dalla vittima al portafoglio degli hacker è un'altra nuova aggiunta al toolkit di Raccoon Stealer. Sohos sta chiamando il nuovo modulo clipper in Raccoon "QuilClipper".

Raccoon Stealer utilizza anche una notevole quantità di offuscamento quando si tratta di inviare e ricevere dati da qualsiasi sistema infetto.