A Sophos új kutatást tett közzé "Trash Panda as a Service: Raccoon Stealer Steals Cookies, Cryptocoins and More" címmel, (A mosómedve-szolgáltatás: a Raccoon Stealer sütiket, kriptovalutát és további értékeket lop".) Az elemzés részletezi, hogy a kalózszoftvernek álcázott tolvajprogram hogyan szerez kriptovalutákat és információkat, miközben káros tartalmakat helyez el a célzott rendszereken, például kriptobányász eszközöket.
"Mivel manapság a mindennapi és a professzionális élet nagy része a böngészőn keresztül nyújtott szolgáltatásoktól függ, az információtolvaj vírus mögött álló üzemeltetők egyre inkább az elmentett webes hozzáférési adatokra hajtanak, amelyek szélesebb körű hozzáférést biztosítanak, mintha csak tárolt jelszó-hasheket lopnának" mondta Sean Gallagher, a Sophos senior fenyegetéskutatója.
"Az általunk követett kampány megmutatta, hogy a Raccoon Stealer jelszavakat, sütiket és a weboldalakon használt, elmentett, automatikusan kitöltésre kerülő szövegeket lop, beleértve a hitelkártya adatokat és más személyes azonosító információkat, melyeket a böngésző eltárolhat. Egy új "clipper" frissítésnek köszönhetően, amely megváltoztatja egy kriptovaluta tranzakció vágólapját vagy célinformációit, a Raccoon Stealer már kriptotárcákat is támad és képes fájlok megszerzésére, illetve betöltésére is a fertőzött rendszereken - például további vírus elhelyezésére. Ez rengeteg könnyen pénzzé tehető lehetőség a digitális bűnözők számára egy olyan szolgáltatástól, amelyet 75 dollárért lehet egy hétre "kibérelni".
A Raccoon Stealert általában spam emaileken keresztül terjesztik. A Sophos által vizsgált kampány esetében azonban olyan droppereken keresztül juttatják célba, amelyet a működtetők tört szoftvertelepítőknek álcáznak. Ezek a dropperek a Raccoon Stealert további támadó eszközökkel csomagolják össze, melyek közé káros böngésző-kiegészítők, kattintásos-átveréses Youtube botok és az elsősorban otthoni felhasználókat célzó Djvu/Stop zsarolóvírus is tartozik.
A Sophos kutatói szerint a Raccoon Stealer kampány mögött álló operátorok először használták a Telegram chat szolgáltatást a vezérléshez használt kommunikációra.
"Az információtolvaj eszközök fontos szerepet töltenek be a digitális bűnözés ökoszisztémájában. Gyors megtérülést kínálnak a befektetésért cserébe és egy könnyű, olcsó belépési pontot nyújtanak a nagyobb támadásokhoz." nyilatkozta Gallagher. "A digitális bűnözők gyakran "fekete" piactereken adják el a lopott hitelesítő adatokat, lehetővé más támadóknak, beleértve zsarolóvírus üzemeltetőknek és Initial Access Brokereknek, hogy azokat a saját illegális szándékaik megvalósításához használják fel - például a munkahelyi chat szolgáltatáson keresztül betörhessenek a vállalati hálózatra. Vagy a csalók a hitelesítő adatokat további támadásokhoz használják fel, melyekkel ugyanazon a platformon más felhasználókat céloznak meg. Folyamatos kereslet van az ellopott felhasználói hitelesítő adatokra - különösen a legitim szolgáltatásokhoz hozzáférést biztosító azonosítókra, amelyeket a támadók vírus egyszerű hosztolására vagy további terjesztésére használhatnak. Az információtolvaj eszközök alsóbbrendű fenyegetéseknek tűnhetnek, ám nem azok."
A Sophos azt javasolja azoknak szervezeteknek, melyek a munkahelyi chathez és kollaborációhoz online szolgáltatásokat használnak, hogy alkalmazzanak többlépcsős azonosítást (MFA) a dolgozók fiókjainak védelméhez. Továbbá biztosítsák azt, hogy az alkalmazottak naprakész vírus elleni védelemmel rendelkezzenek bármely digitális eszközükön, amelyekről távolról hozzáférnek a munkához kapcsolódó szolgáltatásokhoz.
A Sophos Intercept X megvédi a felhasználókat a Raccoon Stealerhez hasonló rosszindulatú programok műveleteinek és viselkedésének észlelésével, beleértve a memóriában végbemenő gyanús tevékenységek ellenőrzését és a fájlnélküli malware elleni védelmet is.
A Sophos azt tanácsolja a felhasználóknak, hogy az általuk és családtagjaik által online kommunikációra és játékra használt eszközökre telepítsenek egy biztonsági megoldást, például a Sophos Home-ot, hogy megvédhessenek mindenkit a rosszindulatú programoktól és digitális fenyegetésektől. A licensz nélküli szoftverek letöltésének és telepítésének kerülése is jó biztonsági gyakorlat, bármilyen forrásból is származzanak azok. Először mindig ellenőrizze, hogy választása jogilag tiszta e!
Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!
