Операторы знаменитого вредоноса Raccoon, специализирующегося на краже информации, нашли новый канал для распространения. Также злоумышленники теперь используют Telegram для хранения и обновления адресов командного сервера (C2).
Впервые Raccoon замаячил на ландшафте киберугроз в апреле 2019 года. В новых версиях вредоносной программы авторы начали задействовать мессенджер Telegram, который помогает им хранить и поддерживать в актуальном состоянии адреса C2.
Как отметили специалисты антивирусной компании Avast, такой подход позволяет злоумышленникам обеспечить надёжное управление зловредом на лету.
Исследователи считают, что за разработкой Raccoon стоят связанные с Россией киберпреступники. Инфостилер может не только воровать пароли, но и извлекать файлы cookies, данные криптокошельков, а также логины и пароли из имейл-клиентов и мессенджеров.
«Также стоит отметить, что Raccoon может загружать и выполнять произвольные файлы, что делает его крайне опасным для конечного пользователя», — пишет Владимир Мартьянов из Avast.
Ранее операторы Raccoon распространяли его в виде файлов в формате .IMG, которые располагались в принадлежащем злоумышленникам Dropbox-аккаунте. Ссылки на эти файлы киберпреступники рассылали в рамках BEC-кампаний (business email compromise), нацеленных на финансовые организации.
Теперь, по словам Мартьянова, операторы прибегают к более креативным методам: Raccoon доставляется на устройства жертв под видом читов для игр, «кряков» для различного софта (модов для Fortnite, Valorant и NBA2K22) и т. п.
Чтобы взаимодействовать с C2 через Telegram, Raccoon использует четыре значения, жёстко заданные в коде вредоноса:
* MAIN_KEY;
* URL Telegram-шлюзов с именем канала;
* BotID — шестнадцатеричная строка, которая отправляется C2-серверу;
* TELEGRAM_KEY — ключ для расшифровки адреса C2, получаемый из Telegram.
• Source: https://decoded.avast.io/vladimirmartyanov/raccoon-stealer-trash-panda-abuses-telegram/
Впервые Raccoon замаячил на ландшафте киберугроз в апреле 2019 года. В новых версиях вредоносной программы авторы начали задействовать мессенджер Telegram, который помогает им хранить и поддерживать в актуальном состоянии адреса C2.
Как отметили специалисты антивирусной компании Avast, такой подход позволяет злоумышленникам обеспечить надёжное управление зловредом на лету.
Исследователи считают, что за разработкой Raccoon стоят связанные с Россией киберпреступники. Инфостилер может не только воровать пароли, но и извлекать файлы cookies, данные криптокошельков, а также логины и пароли из имейл-клиентов и мессенджеров.
«Также стоит отметить, что Raccoon может загружать и выполнять произвольные файлы, что делает его крайне опасным для конечного пользователя», — пишет Владимир Мартьянов из Avast.
Ранее операторы Raccoon распространяли его в виде файлов в формате .IMG, которые располагались в принадлежащем злоумышленникам Dropbox-аккаунте. Ссылки на эти файлы киберпреступники рассылали в рамках BEC-кампаний (business email compromise), нацеленных на финансовые организации.
Теперь, по словам Мартьянова, операторы прибегают к более креативным методам: Raccoon доставляется на устройства жертв под видом читов для игр, «кряков» для различного софта (модов для Fortnite, Valorant и NBA2K22) и т. п.
Чтобы взаимодействовать с C2 через Telegram, Raccoon использует четыре значения, жёстко заданные в коде вредоноса:
* MAIN_KEY;
* URL Telegram-шлюзов с именем канала;
* BotID — шестнадцатеричная строка, которая отправляется C2-серверу;
* TELEGRAM_KEY — ключ для расшифровки адреса C2, получаемый из Telegram.
• Source: https://decoded.avast.io/vladimirmartyanov/raccoon-stealer-trash-panda-abuses-telegram/
