O Raccoon Stealer foi atualizado por seu desenvolvedor para roubar criptomoedas juntamente com informações financeiras. A Sophos divulgou uma nova pesquisa sobre um acessório para os agentes de ameaças usarem como uma ferramenta adicional para roubo de dados e receita. De acordo com a empresa, o malware Raccoon Stealer se espalha por software pirata para roubar criptomoedas.
Em uma nova campanha monitorada pela equipe, o malware foi espalhado não por e-mails de spam – o vetor de ataque inicial usual vinculado ao Raccoon Stealer – mas, em vez disso, por conta-gotas disfarçados de instaladores de software pirateado e crackeado.
Amostras obtidas pela Sophos revelaram que o ladrão está sendo empacotado com malware, incluindo extensões de navegador maliciosas, mineradores de criptomoedas, a cepa de ransomware de consumidor Djvu/Stop e bots de fraude de cliques que visam sessões do YouTube.
O Raccoon Stealer é capaz de monitorar e coletar credenciais de contas, cookies, texto de “preenchimento automático” de sites e informações financeiras que podem estar armazenadas em uma máquina infectada.
Malware Raccoon Stealer se espalha por software pirata para roubar criptomoedas
No entanto, o recurso atualizado também tem um “clipper” para roubo baseado em criptomoeda. As carteiras e suas credenciais, em particular, são direcionadas pela ferramenta QuilClipper, bem como pelos dados de transações baseados no Steam.
QuilClipper rouba criptomoedas e transações Steam monitorando continuamente a área de transferência do sistema de dispositivos Windows que infecta, observando os endereços de carteiras de criptomoedas e ofertas comerciais do Steam, executando o conteúdo da área de transferência por meio de uma matriz de expressões regulares para identificá-los, observaram os pesquisadores.
O ladrão opera por meio de um servidor de comando e controle (C2) baseado em Tor para lidar com a exfiltração de dados e o gerenciamento de vítimas. Cada executável Raccoon é vinculado a uma assinatura específica para cada cliente.
“Se uma amostra de seu malware aparecer no VirusTotal ou em outros sites de malware, eles podem rastreá-lo até o cliente que pode ter vazado”, diz a Sophos.
Ladrão de aluguel
O Raccoon é oferecido como um ‘ladrão de aluguel’, com os desenvolvedores por trás do malware oferecendo sua criação a outros cibercriminosos por uma taxa. Em troca, o malware é atualizado com frequência.
Normalmente encontrado em fóruns undergrounds russos, o Raccoon também foi visto nos últimos anos em fóruns em inglês – por apenas US$ 75 por assinatura semanal. De acordo com os pesquisadores, durante um período de seis meses, o malware foi usado para roubar pelo menos US$ 13.000 em criptomoedas de suas vítimas e, quando empacotado, outros US$ 2.900 foram roubados.
O desenvolvedor ganhou cerca de US$ 1.200 em taxas de assinatura, junto com uma parte dos rendimentos do usuário.
É esse tipo de economia que torna esse tipo de crime cibernético tão atraente – e pernicioso”, diz Sophos. “Multiplicado por dezenas ou centenas de atores individuais da Raccoon, gera um meio de vida para os desenvolvedores da Raccoon e uma série de outros provedores de serviços mal-intencionados de apoio que lhes permite continuar a melhorar e expandir suas ofertas criminosas.