Експерти Bitdefender підготували аналіз Raccoon Password Stealer. Найдивовижніше те, що якщо локальною мовою користувача встановлено російську чи українську, шкідливе програмне забезпечення не запускається в системі.
Хакери використовують RIG Exploit Kit для розповсюдження різних шкідливих програм через експлойти браузерів, зокрема через уразливі версії Internet Explorer 11. З початку цього року прихильники нових атак поширюють шкідливу програму Raccoon-Stealer, яка, серед іншого, , використовує додатки даних доступу на основі Chrome і Mozilla, дані доступу до поштових облікових записів, інформацію про кредитні картки та інформацію про криптогаманці в розширеннях браузера та з жорсткого диска.
Викрадач паролів Raccoon у фокусі з 2019 року
Експерти з безпеки вперше помітили викрадач паролів Raccoon у квітні 2019 року. Zerofox, Cyberint і Avast вже описали старіші варіанти зловмисного програмного забезпечення, деякі з яких були доступні як Malware-as-a-Service на підпільних форумах, деякі за 200 доларів на місяць.
Набір експлойтів RIG, який зараз аналізують експерти Bitdefender, використовує вразливість CVE-2021-26411. Після розгортання зловмисне програмне забезпечення атакує різні програми, щоб викрасти паролі та іншу інформацію. У браузерах на основі Chrome він шукає конфіденційні дані в базах даних SQLite. Використовуючи законну бібліотеку sqlite3.dll, зловмисники винюхують інформацію для входу, файли cookie та історію браузера, а також інформацію про кредитні картки.
Перегляд даних доступу
Зловмисне програмне забезпечення запитує всі необхідні бібліотеки програм на базі Mozilla, щоб розшифрувати та витягнути конфіденційну інформацію з баз даних SQLite. Крім того, зловмисники шукають загальні програми для криптовалют, такі як гаманці та їх розташування за замовчуванням (наприклад, Exodus, Monero, Jaxx або Binance). При цьому зловмисник шукає всі файли wallet.dat. Кіберзлочинці збирають дані для входу від користувачів електронної пошти (також із Microsoft Outlook) або дані з менеджерів паролів.
Немає виконання шкідливого коду для російської та української мов користувача
У своєму аналізі експерти Bitdefender Labs описують, як RIG Exploit Kit використовує вразливість і починає виконувати код. Зразок зловмисного програмного забезпечення загорнуто в кілька рівнів шифрування для кращої скритності та ускладнення зворотного проектування. Перед виконанням Raccoon Stealer визначає оригінальну локальну мову користувача: якщо це російська, українська, білоруська, казахська, киргизька, вірменська, таджицька або узбецька, зловмисне програмне забезпечення не запуститься. Аналіз також описує початковий зв’язок із сервером командування та керування (C&C).
Більше ніж PDF на Bitdefender.com
Про Bitdefender Bitdefender є світовим лідером у сфері рішень для кібербезпеки та антивірусного програмного забезпечення, що захищає понад 500 мільйонів систем у понад 150 країнах. З моменту заснування в 2001 році інновації компанії регулярно забезпечували відмінні продукти безпеки та інтелектуальний захист для пристроїв, мереж і хмарних сервісів для приватних клієнтів і компаній. Як найкращий постачальник, технологія Bitdefender міститься в 38 відсотках розгорнутих у світі рішень безпеки, їй довіряють і визнають професіонали галузі, виробники та споживачі. www.bitdefender.de