Raccoon Stealer получает обновление, распространяет дополнительное вредоносное ПО

Raccoon Stealer - это название вредоносной программы для похитителя криптовалюты и платформы, работающей по модели «вредоносное ПО как услуга» людьми, запускающими Raccoon. Вредоносная программа только что получила новое обновление, которое исследователи безопасности, работающие с Sophos, разобрали и опубликовали анализ своих результатов.

Racoon Stealer продается в основном на подпольных российских хакерских веб-сайтах и предназначен как быстрое и простое решение для начинающих хакеров, которые не умеют кодировать собственное вредоносное ПО с нуля и готовы платить за использование существующего продукта. Последнее обновление изменило ряд вещей во вредоносном ПО, как указано в Sophos.

Похоже, что Raccoon Stealer постепенно уходит от распространения через вредоносные электронные письма и постепенно пытается завоевать популярность на страницах результатов поиска Google, когда поисковый запрос касается взломанного или пиратского программного обеспечения. Это не первый случай, когда вредоносное ПО обнаруживается в качестве взлома поддельного платного программного обеспечения, но это свидетельствует о том, что разработчики Raccoon прилагают значительные усилия для оптимизации своих вредоносных страниц, чтобы они занимали такое высокое место в поиске Google, как "взломанный X" или "Y-кейген".

После загрузки поддельного взломанного файла жертвы действительно запускают дроппер. В процессе заражения дропперы и содержащиеся в них исполняемые файлы извлекают самораспаковывающиеся архивные файлы. Sophos обнаружил, что они, похоже, имели подписи, исходящие от таких инструментов, как 7zip или WinZip, но заголовки файлов были изменены или подписи каким-то образом были фальсифицированы, поскольку эти инструменты архивирования вообще не могут открывать или извлекать вредоносные архивы.

Различные типы конечной полезной нагрузки, которую может доставить дроппер Raccoon Stealer, различаются и включают в себя вредоносные программы-криптомайнеры, криптостилеры, которые отслеживают строки буфера обмена и заменяют найденные строки кошелька на строки хакеров, а также вредоносные расширения для браузера.

Клипер с буфером обмена, который незаметно меняет местами строки кошелька и эффективно перенаправляет любые транзакции, совершенные жертвой, на кошелек хакеров, является еще одним новым дополнением к набору инструментов Raccoon Stealer. Sohos называют новый модуль клиперов в Raccoon "QuilClipper".

Raccoon Stealer также использует значительный объем обфускации, когда дело доходит до отправки и получения данных от любых зараженных систем.