Raccoon-Stealer nutzt auch Telegram für Crypto-Mining

Sophos News

Beitrag teilen

Sophos-Report: Weit verbreiteter Raccoon-Stealer nutzt auch Telegram für Crypto-Mining und Crypto-Diebstahl. Erstmals auch Chat-Dienst Telegram für die Befehls- und Kontrollkommunikation eingespannt.

Sophos hat die neue Studie “Trash Panda as a Service” Raccoon-Stealer Steals Cookies, Cryptocoins and More” veröffentlicht. Thema ist ein Stealer, der als Raubkopie getarnt Kryptowährungen und Informationen erbeutet und gleichzeitig schädliche Inhalte wie Kryptominer auf das Zielsystemen einschleust.

„Da ein Großteil des täglichen und beruflichen Lebens heute von web-basierten Diensten abhängt, haben es Cyberkriminelle mit ihrer Malware zunehmend auf gespeicherte Web-Zugangsdaten abgesehen, denn diese bieten ihnen Zugriff auf viel mehr im Vergleich zu gestohlenen Passwort-Hashes”, sagt Sean Gallagher, Senior Threat Researcher bei Sophos.

Raccoon-Stealer nimmt auch Krypto-Wallets ins Visier

„Die von uns beobachtete Cybercrime-Kampagne zeigt, dass der Raccoon-Stealer sowohl Kennwörter und Cookies als auch Autofill-Texte von Websites stiehlt – einschließlich Kreditkartendaten und andere persönliche Informationen, die von einem Browser gespeichert werden können. Dank eines kürzlichen Updates der sogenannten Clipper-Malware, die Daten in der Zwischenablage oder die Zielinformationen für eine Kryptowährungstransaktion ändert, zielt Raccoon-Stealer jetzt auch auf Krypto-Wallets ab. Durch das Update lassen sich Systeme mit zusätzlicher Malware infizieren oder Dateien abrufen und laden. Das sind eine Menge Optionen, die Cyberkriminelle leicht zu Geld machen können – mit einem Dienst, der der sie lediglich 75 Dollar pro Woche an Miete kostet”, so Gallagher weiter.

Telegram als neue und zusätzliche Taktik

Die Macher hinter Raccoon verschicken sogar Werbepost zu den Neuerungen des Stealer (Bild: Sophos).

Raccoon-Stealer wird normalerweise über Spam-E-Mails verbreitet. In der von Sophos untersuchten Angriffsserie wird er jedoch über Dropper verbreitet, den die Betreiber als gecrackte Software-Installationsprogramme getarnt haben. Dropper kombinieren den Raccoon-Stealer mit zusätzlichen Angriffswerkzeugen, darunter schädliche Browser-Erweiterungen, YouTube-Klickbetrug-Bots und Djvu/Stop, eine Ransomware, die vor allem Privatanwender im Visier hat. Die Kriminellen hinter der Raccoon-Stealer-Kampagne nutzten den Sophos-Forschungsergebnissen zufolge erstmals auch den Chat-Dienst Telegram für die Befehls- und Kontrollkommunikation.

Schutz für Unternehmen und Privatpersonen

Für Unternehmen empfiehlt Sophos, alle Konten von Online-Diensten für die Kommunikation und Zusammenarbeit am Arbeitsplatz durch Multi-Faktor-Authentifizierung (MFA) zu schützen. Zudem sollte sichergestellt sein, dass die Computer aller Mitarbeiter über einen aktuellen Malware-Schutz verfügen. Sophos Intercept X schützt Endpoints durch die Erkennung von Aktionen und Verhaltensweisen von Malware wie Raccoon-Stealer. Zudem überprüft die Security-Lösung den Speicher auf verdächtige Aktivitäten und schützt vor dateiloser Malware.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Forensik realer Cyberangriffe lüftet Taktiken der Angreifer

Detaillierte Untersuchung der vom Sophos Incident Response Team übernommen Fälle macht deutlich, dass Angreifer immer kürzer im infiltrierten Netzwerk verweilen, ➡ Weiterlesen

Ransomware-Gruppe 8base bedroht KMUs

8base ist eine der aktivsten Ransomware-Gruppen. Sie fokussierte sich in diesem Sommer auf kleine und mittlere Unternehmen. Durch niedrige Sicherheitsbudgets ➡ Weiterlesen

ALPHV: Casinos und Hotels in Las Vegas per Hack lahmgelegt

MGM Resorts, ein US-amerikanischer Betreiber von Hotels und Spielcasinos, wurde vor kurzem von einem Ransomware-Angriff heimgesucht, der mehrere Systeme an ➡ Weiterlesen

Cyberbedrohung: Rhysida-Ransomware

Taktiken und Techniken der Rhysida-Ransomware ähneln denen der berüchtigten Ransomware-Bande Vice Society. Experten vermuten, dass Vice Society eine eigene Variante ➡ Weiterlesen

Gastgewerbe: Angriffe auf Buchungsplattform

Cyberkriminelle stahlen die Kreditkartendaten, persönliche Daten und Passwörter der Kunden der Gaststätten-Buchungsplattform IRM-NG. Bitdefender hat aktuelle Forschungsergebnisse einer derzeit laufenden ➡ Weiterlesen

In Post-Quanten-Kryptografie investieren

Schon jetzt setzt Google in seiner aktuellsten Version des Chrome Browsers auf ein quantensicheres Verschlüsselungsverfahren (Post-Quanten-Kryptografie). Unternehmen sollten das ebenfalls ➡ Weiterlesen

Veraltete Systeme: Cyberangriffe auf Gesundheitseinrichtungen

Weltweit waren 78 Prozent der Gesundheitseinrichtungen im letzten Jahr von Cybervorfällen betroffen. Jeder vierte Cyberangriff auf Gesundheitseinrichtungen in Deutschland hat ➡ Weiterlesen

Report: Weltweiter Anstieg der Cyber-Angriffe

Stärkster Anstieg von Cyber-Angriffen in den letzten zwei Jahren. Lockbit3 ist der Spitzenreiter unter den Ransomwares in der ersten Jahreshälfte ➡ Weiterlesen