«Русский» троян научился просачиваться через защиту Microsoft и Symantec
Операторы Raccoon Stealer, незамысловатого, но эффективного троянца, используют довольно простой приём для того, чтобы обеспечить потенциальным жертвам заражение.
Вокруг шлюза
Операторы троянца Raccoon Stealer нашли способ «обводить» его вокруг популярных спам-фильтров для почтовых шлюзов. Речь идет в первую очередь о решениях Symantec Email Security и Microsoft EOP.
По данным экспертов компании Cofense, злоумышленники используют «потенциально скомпрометированный почтовый аккаунт», который задействуется для сообщений с вредоносными ссылками.
С этого аккаунта рассылаются фишинговые послания со ссылками на Dropbox. Эти сообщения, по-видимому, благодаря использованию нужного адреса, успешно преодолевают шлюзовую защиту, и при этом «не происходит удаления или изменения URL — до такой степени, что потенциальные жертвы не смогли бы нажать на ссылку и скачать вредоносное содержимое».
К сожалению, дальше эксперты Cofense сосредотачиваются на описании самого вредоноса, а не технических подробностях обхода защиты на уровне шлюзов и компрометации почтовых ящиков.
Raccoon Stealer — это созданный русскоязычными программистами вредонос, который, несмотря на отсутствие какой-то повышенной технической сложности, демонстрирует довольно высокую эффективность. Написанный на C++, Raccoon Stealer работает в 32-битных и 64-битных средах.
Raccoon предназначен для кражи данных кредитных карт, почтовых реквизитов, криптокошельков и других важных личных данных.
Воровство как услуга, оплата помесячная
Рассматриваемый вредонос операторы предлагают по модели malware-as-a-service (MaaS), «вредонос-как-услуга» с простой и эффективной клиентской панелью и круглосуточной техподдержкой. Стоимость аренды составляет $200 в месяц.
По оценкам экспертов, на сегодняшний день разные версии Raccoon заразили более 100 тыс. пользовательских систем. В последнее время его активно используют для мошеннических атак формата BEС (Business Email Compromise — компрометация деловой электронной переписки).
Злоумышленники прячут тело вредоноса внутри файла-образа .IMG, загруженного на Dropbox; ссылки рассылаются потенциальным жертвам — работникам финансовых учреждений. Фишинговые письма оформлены как срочные сообщения о предстоящих денежных транзакциях.
Андрей Зотов, Cloud.ru: Облачные платформы становятся основой для масштабирования ИИ-решений
В случае успешного попадания на компьютер жертвы, вредонос связывается с контрольным сервером и закачивает с него набор DLL.
Эксперты полагают, что в будущем Raccoon Stealer также будет использоваться для загрузки других вредоносных программ — с целью извлечения киберпреступниками дополнительных доходов.
По всей видимости, уже сейчас Raccoon использует большое количество различных группировок. С апреля 2019 г. количество способов доставки вредоноса потенциальным жертвам значительно выросло. Помимо .IMG-файлов на Dropbox, Raccoon доставлялся через вредоносные документы .RTF с эксплойтамми для RCE-уязвимости в MicrosoftOffice, а теперь его также наблюдают в наборе эксплойтов Fallout Exploit Kit.
«Разработчики подобных программ всегда ищут новые способы атаковать своих жертв и преодолевать их защиту, — указывает Тарас Татаринов, эксперт по информационной безопасности компании «Информационные технологии будущего». — Найти универсальную разовую защиту от Raccoon не получится (даже арест разработчиков, скорее всего, не поможет). Единственный эффективный способ противодействовать подобным вредоносам — это постоянно поддерживать в работниках компаний должный уровень осведомленности относительно фишинга и прочих разновидностей мошенничества, а также предпринимать все возможное, чтобы минимизировать количество уязвимостей в системах, через которые осуществляется доступ к корпоративным финансовым ресурсам».