O roubo de credenciais voltou com força e agora usa o mensageiro Telegram para fazer novas vítimas. O programa é o mais usado por cibercriminosos que se desdobram para ampliar os ataques, cada vez mais sofisticados. De acordo com pesquisadores em segurança cibernética, o Raccoon Stealer usa Telegram para fazer novas vítimas.
O Raccoon Stealer, que apareceu pela primeira vez em abril de 2019, adicionou a capacidade de armazenar e atualizar seus próprios endereços C2 reais na infraestrutura do Telegram, de acordo com uma postagem no blog publicada pelo Avast Threat Labs esta semana. Isso lhes dá um centro de comando “conveniente e confiável” na plataforma que eles podem atualizar em tempo real, disseram os pesquisadores.
O malware – que se acredita ser desenvolvido e mantido por cibercriminosos afiliados à Rússia – é, em sua essência, um ladrão de credenciais. Porém, é capaz de uma série de atividades ilegais. Ele pode roubar não apenas senhas, mas também cookies, logins salvos e dados de formulários de navegadores, credenciais de login de clientes de e-mail e mensageiros, arquivos de carteiras criptográficas, dados de plugins e extensões de navegadores e arquivos arbitrários, com base em comandos de seu C2.
“Além disso, é capaz de baixar e executar arquivos arbitrários por comando de seu C2”, escreveu o pesquisador do Avast Threat Labs, Vladimir Martyanov, no post. Isso, em combinação com o desenvolvimento ativo e a promoção em fóruns clandestinos, torna o Raccoon Stealer “prevalente e perigoso”, disse ele.
Após seu lançamento em 2019, os cibercriminosos adotaram rapidamente o malware por causa de seu modelo de malware como serviço (MaaS) fácil de usar, que lhes deu uma maneira rápida e fácil de ganhar dinheiro roubando dados confidenciais.
Raccoon Stealer usa Telegram para fazer novas vítimas
No início, os invasores foram vistos entregando o Raccoon Stealer por meio de um arquivo .IMG hospedado em uma conta do Dropbox controlada por hackers em campanhas de comprometimento de e-mail comercial (BEC) direcionadas a instituições financeiras e outras organizações.
Mais recentemente, os pesquisadores do Avast Threat Labs observaram várias maneiras novas e criativas pelas quais os invasores estão distribuindo o Raccoon Stealer, disse Martyanov.
“Tendo em conta que o Raccoon Stealer está à venda, suas técnicas de distribuição são limitadas apenas pela imaginação dos compradores finais”, escreveu ele.
Além de ser espalhado por dois carregadores – Buer Loader e GCleaner – os invasores também estão distribuindo o Raccoon Stealer por meio de truques de jogos falsos, patches para software crackeado – incluindo hacks e mods para Fortnite, Valorant e NBA2K22 – ou outro software, escreveu Martyanov.
Os cibercriminosos também estão tomando o cuidado de tentar evitar a detecção empacotando o ladrão de credenciais, usando Themida ou empacotadores de malware, com algumas amostras sendo empacotadas mais de cinco vezes seguidas com o mesmo empacotador, acrescentou.
Abusando do C2 no Telegram
O relatório detalhou como a versão mais recente do Raccoon Stealer se comunica com o C2 no Telegram: Existem quatro valores “cruciais” para sua comunicação C2, que são codificados em cada amostra do Raccoon Stealer, de acordo com o post. Eles estão:
- -MAIN_KEY, que foi alterado quatro vezes durante o ano;
- -URLs de portas do Telegram com um nome de canal;
- -BotID, uma string hexadecimal, sempre enviada ao C2; e
- -TELEGRAM_KEY, uma chave para descriptografar o endereço C2 obtido do Telegram Gate.
Para sequestrar o Telegram para seu C2, o malware primeiro descriptografa MAIN_KEY, que ele usa para descriptografar URLs e BotID dos portões do Telegram. O ladrão então usa o portão do Telegram para chegar ao seu C2 real usando uma série de consultas que eventualmente permitem que ele use a infraestrutura do Telegram para armazenar e atualizar endereços C2 reais, escreveu Martyanov.
Ao baixar e executar arquivos arbitrários de um comando do C2, o ladrão também pode distribuir malware. O Avast Threat Labs coletou cerca de 185 arquivos, com um tamanho total de 265 megabytes – incluindo downloaders, ladrões de criptografia da área de transferência e o ransomware WhiteBlackCrypt – que estavam sendo distribuídos pelo Raccoon Stealer.
Raccoon Stealer usa Telegram mas evita a Rússia
Uma vez executado, o Racoon Stealer começa a verificar a localidade do usuário padrão definida no dispositivo infectado e não funcionará se for um dos seguintes: russo, ucraniano, bielorrusso, cazaque, quirguiz, armênio, tadjique ou uzbeque. Isso provavelmente ocorre porque os próprios desenvolvedores são russos, acreditam os pesquisadores.
No entanto, o Avast Threat Labs descobriu que, em atividades recentes, “o país onde bloqueamos mais tentativas é a Rússia, o que é interessante porque os atores por trás do malware não querem infectar computadores na Rússia ou na Ásia Central”, escreveu Martyanov.
Isso pode ser porque “os ataques se espalham distribuindo o malware em todo o mundo”, observou ele. O malware não verifica a localização do usuário até chegar a um dispositivo; se descobrir que o dispositivo está localizado em uma região que os desenvolvedores não desejam atingir, ele não será executado.
Isso explica por que detectamos tantas tentativas de ataque na Rússia; bloqueamos o malware antes que ele possa ser executado, ou seja, antes que ele chegue ao estágio em que verifica a localização do dispositivo, escreveu Martyanov.
Se um dispositivo desprotegido que se deparar com o malware com sua localidade definida como inglês ou qualquer outro idioma que não esteja na lista de exceções, mas esteja na Rússia, ele ainda será infectado.
Via ThreatPost