Theo Threat Post, phiên bản nâng cao của nền tảng lấy trộm Raccoon, được phát hiện là đi kèm với phần mềm độc hại cập nhật, ẩn trong phần mềm vi phạm bản quyền, nơi nó thu thập tiền điện tử và cài đặt một phần mềm nhỏ giọt để phát tán nhiều phần mềm độc hại hơn .
Những kẻ đe dọa đã sử dụng nền tảng Raccoon Stealer để thực hiện các tội phạm mạng khác nhau đã mở rộng dịch vụ của họ để bao gồm các công cụ bổ sung để truy cập máy tính của mục tiêu và phần mềm độc hại cho phép truy cập từ xa để tải xuống dữ liệu. Nghiên cứu cho thấy phần mềm độc hại được chuyển đến thiết bị của nạn nhân có thể bao gồm tiện ích mở rộng trình duyệt độc hại, nhấp chuột trên YouTube (bot lừa đảo), Djvu / Stop (phần mềm tống tiền dành cho người dùng gia đình), công cụ khai thác tiền điện tử và Clippers (phần mềm độc hại ăn cắp tiền điện tử).
Các nền tảng đánh cắp dưới dạng dịch vụ thường bị khai thác bởi các tin tặc mới. Dịch vụ này cho phép bạn lấy thông tin nhạy cảm như thông tin xác thực đăng nhập, cookie và các mật khẩu khác mà trình duyệt của mục tiêu của bạn có thể giữ lại. Nghiên cứu gần đây do Sophos Labs thực hiện đã phát hiện ra rằng nền tảng này đã được sửa đổi để bao gồm các mạng và kỹ thuật phân phối mới.
Việc sử dụng phần mềm bẻ khóa có thể ảnh hưởng đến toàn bộ hệ thống
Thay vì lây nhiễm dựa trên hộp thư đến như trước đây, Raccoon Stealer hiện sử dụng Google Tìm kiếm. Sophos tuyên bố rằng những kẻ đe dọa đã thành thạo trong việc tối ưu hóa các trang web độc hại cho kết quả tìm kiếm của Google. Là một phần của chiến dịch, nạn nhân được cung cấp các công cụ vi phạm bản quyền phần mềm như phần mềm bẻ khóa hoặc ứng dụng keygen hứa hẹn mở khóa phần mềm được cấp phép.
Nghiên cứu cho thấy hoạt động mô phỏng của Raccoon Stealer, thường bắt đầu bằng việc tải xuống tệp lưu trữ. Tệp chứa một kho lưu trữ khác được bảo vệ bằng mật khẩu và một tài liệu văn bản có mật khẩu mà sau này được sử dụng trong chuỗi lây nhiễm. Sau khi giải nén, tệp thực thi thiết lập có thể dễ dàng vượt qua quá trình quét phần mềm độc hại vì nó được bảo vệ bằng mật khẩu. Sau khi mở tệp thực thi, bước tiếp theo được kích hoạt, lấy thêm trình cài đặt tự giải nén.
Người ta ước tính rằng hơn 13.200 đô la Bitcoin đã bị đánh cắp và 2.900 đô la được tạo ra từ các thiết bị của nạn nhân thông qua khai thác tiền điện tử bất hợp pháp
Các nhà phát triển của The Stealer đã thêm chữ ký của các công cụ tự giải nén như WinZIP SFX hoặc 7Zip . Sophos nói, ngay cả khi không thể giải nén các kho lưu trữ bằng các công cụ trích xuất này, thì có thể các phần mềm độc hại đã làm như vậy để ngăn chặn việc giải nén mà không có ngoại lệ.
Telegram và một khóa mã hóa RC4 được các kẻ đe dọa sử dụng để ngụy trang ID cấu hình của khách hàng Raccoon. Để giao tiếp với C2, gấu trúc cần địa chỉ của cổng C2, nơi C2 là một công cụ có giá trị được sử dụng để lấy dữ liệu dựa trên trình duyệt và ví tiền điện tử. Ứng dụng này được làm mờ bằng Crypto Obfuscato và được viết bằng Visual Basic.NET.
Sophos phát hiện ra rằng kể từ tháng 10 năm 2020, đợt tải trọng thứ hai của Kẻ trộm Raccoon đã được phân phối 18 phiên bản phần mềm độc hại khác nhau. Sophos tin rằng khoảng 13.200 đô la Mỹ trị giá bitcoin đã bị đánh cắp từ các nạn nhân trong chiến dịch Raccoon, cũng như 2.900 đô la tiền điện tử được tạo ra bằng máy tính của nạn nhân. Chi phí ước tính để điều hành doanh nghiệp bất hợp pháp là 1.250 đô la.
Nguồn: https://news.softpedia.com/
