Malware Raccoon Stealer se espalha por software pirata para roubar criptomoedas

Malware Raccoon Stealer se espalha por software pirata para roubar criptomoedas

O Raccoon Stealer foi atualizado por seu desenvolvedor para roubar criptomoedas juntamente com informações financeiras. A Sophos divulgou uma nova pesquisa sobre um acessório para os agentes de ameaças usarem como uma ferramenta adicional para roubo de dados e receita. De acordo com a empresa, o malware Raccoon Stealer se espalha por software pirata para roubar criptomoedas.

Em uma nova campanha monitorada pela equipe, o malware foi espalhado não por e-mails de spam – o vetor de ataque inicial usual vinculado ao Raccoon Stealer – mas, em vez disso, por conta-gotas disfarçados de instaladores de software pirateado e crackeado. 

Amostras obtidas pela Sophos revelaram que o ladrão está sendo empacotado com malware, incluindo extensões de navegador maliciosas, mineradores de criptomoedas, a cepa de ransomware de consumidor Djvu/Stop e bots de fraude de cliques que visam sessões do YouTube. 

O Raccoon Stealer é capaz de monitorar e coletar credenciais de contas, cookies, texto de “preenchimento automático” de sites e informações financeiras que podem estar armazenadas em uma máquina infectada.

Malware Raccoon Stealer se espalha por software pirata para roubar criptomoedas

Malware Raccoon Stealer se espalha por software pirata para roubar criptomoedas

No entanto, o recurso atualizado também tem um “clipper” para roubo baseado em criptomoeda. As carteiras e suas credenciais, em particular, são direcionadas pela ferramenta QuilClipper, bem como pelos dados de transações baseados no Steam.

QuilClipper rouba criptomoedas e transações Steam monitorando continuamente a área de transferência do sistema de dispositivos Windows que infecta, observando os endereços de carteiras de criptomoedas e ofertas comerciais do Steam, executando o conteúdo da área de transferência por meio de uma matriz de expressões regulares para identificá-los, observaram os pesquisadores. 

O ladrão opera por meio de um servidor de comando e controle (C2) baseado em Tor para lidar com a exfiltração de dados e o gerenciamento de vítimas. Cada executável Raccoon é vinculado a uma assinatura específica para cada cliente. 

“Se uma amostra de seu malware aparecer no VirusTotal ou em outros sites de malware, eles podem rastreá-lo até o cliente que pode ter vazado”, diz a Sophos. 

Ladrão de aluguel

O Raccoon é oferecido como um ‘ladrão de aluguel’, com os desenvolvedores por trás do malware oferecendo sua criação a outros cibercriminosos por uma taxa. Em troca, o malware é atualizado com frequência. 

Normalmente encontrado em fóruns undergrounds russos, o Raccoon também foi visto nos últimos anos em fóruns em inglês – por apenas US$ 75 por assinatura semanal. De acordo com os pesquisadores, durante um período de seis meses, o malware foi usado para roubar pelo menos US$ 13.000 em criptomoedas de suas vítimas e, quando empacotado, outros US$ 2.900 foram roubados. 

O desenvolvedor ganhou cerca de US$ 1.200 em taxas de assinatura, junto com uma parte dos rendimentos do usuário. 

É esse tipo de economia que torna esse tipo de crime cibernético tão atraente – e pernicioso”, diz Sophos. “Multiplicado por dezenas ou centenas de atores individuais da Raccoon, gera um meio de vida para os desenvolvedores da Raccoon e uma série de outros provedores de serviços mal-intencionados de apoio que lhes permite continuar a melhorar e expandir suas ofertas criminosas.