2021’in en üretken bilgi hırsızlarından biri olan “Raccoon Stealer”ın yazarları, Ukrayna’daki baş geliştiricisinin ölümünün ardından operasyonları kapattıktan sadece üç ay sonra kötü amaçlı yazılımın yeni ve geliştirilmiş bir sürümünü yayınladı.

Fransız siber güvenlik sağlayıcısı Sekoia’dan araştırmacılar bu hafta, bu ayın başlarında kötü amaçlı yazılım belirtileri ararken Raccoon Stealer dosyalarını barındıran aktif sunuculara rastladıklarını bildirdi. Sekoia’nın müteakip araştırması, kötü amaçlı yazılımın yazarlarının en az 17 Mayıs’tan beri Telegram kanalları aracılığıyla yeni sürümü sattığını gösterdi.

Sekoia, analizinin Raccoon Stealer yazarlarının kötü amaçlı yazılım ve yönetim panelini sıfırdan yeniden yazdığını gösterdiğini söyledi. Çabanın odak noktası, hırsızın performansını ve verimliliğini artırmak gibi görünüyor. Özünde, yeni Raccoon Stealer, kripto para cüzdanlarına ekstra odaklanarak klasik bir bilgi hırsızı olmaya devam ediyor. Çoğu modern tarayıcıdan şifreleri, tanımlama bilgilerini, kredi kartı verilerini ve otomatik doldurma formlarını çalmak için tasarlanmıştır. Kötü amaçlı yazılım, Electrum, Exodus, MetaMask ve Coinomi dahil olmak üzere çok çeşitli masaüstü kripto cüzdanlarından çalabilir.

Yeni ve geliştirilmiş

Sekoia, Raccoon Stealer V2’nin, güvenliği ihlal edilmiş sistemler için dosyaları sızdırmak ve sistemlere başka yazılımlar yüklemek için tüm diskler için bir dosya yakalayıcı ve yerleşik bir dosya indirici gibi özelliklere de sahip olduğunu buldu. Ek yetenekler arasında ekran görüntüsü yakalama, tuş vuruşu günlüğü ve uygulama numaralandırma bulunur. “Kötü amaçlı yazılımın neredeyse hiç savunma kaçırma tekniği yokanti-analiz gibi [or] Şaşırtma,” dedi Sekoia, bu haftaki analizini özetleyen bir raporda. Ancak güvenlik sağlayıcısı, kötü amaçlı yazılım yazarlarının bu yetenekleri yakında eklemesini beklediklerini söyledi.

Birkaç güvenlik araştırmacısı, geliştiricileri 25 Mart’ta operasyonları durdurduklarını açıkladıklarında Raccoon Stealer’ın yeniden ortaya çıkmasını bekliyordu. İlk olarak 2019’da ortaya çıkan kötü amaçlı yazılım, yakın tarihin en etkili bilgi hırsızlarından biri olarak kabul ediliyor. Racoon Stealer’ın geliştiricileri, başlangıçta, diğer suçluların hırsızı kârın bir kısmı için kiralamasına ve kullanmasına izin veren bir hizmet olarak kötü amaçlı yazılım modeli aracılığıyla dağıttı.

Zamanla, suçlular onu korsan yazılım satan web sitelerine yerleştirmek de dahil olmak üzere başka şekillerde de dağıtmaya başladılar. Geçen Ağustos ayında, Sophos araştırmacıları, suçluların, insanlar korsan yazılım kaynakları aradığında Google arama motoru sonuçlarında üst sıralarda çıkacak şekilde optimize edilmiş sitelerden kötü amaçlı yazılım bıraktığını bildirdi. Bu kampanyada Sophos, Raccoon Stealer’ı dağıtan suçluların muhtemelen “hizmet olarak damlalıklarSophos araştırmacıları ayrıca, Raccoon Stealer bulaşmış sistemlere komut ve kontrol ağ geçidinin adresini iletmek için bir Telegram kanalı kullanan saldırganları da gözlemledi. Güvenlik sağlayıcısı, Raccoon Stealer saldırganlarının kötü amaçlı yazılımın komuta ve kontrol altyapısını bulmak daha zor.

Cue üzerinde yüzey yenileme

Ocak 2022’de Bitdefender’ın Siber Tehdit İstihbarat Laboratuvarı, yaygın olarak kullanılan RIG Exploit Kit’in operatörlerinin kitlerinde Raccoon Stealer’ı içerdiğini gözlemledi. Ancak, Raccoon Stealer’ın geliştiricileri bırakacaklarını açıkladıklarında, RIG’in yazarları kötü amaçlı yazılımı hızla eski ama yine de popüler olan Dridex bankacılık Truva Atı ile değiştirdiler. Son zamanlarda suçlular, Raccoon Stealer’ı dağıtmak için F-Secure ve Proton’dan VPN’ler gibi meşru yazılımlar için sahte yükleyiciler de kullandılar.

Geçen hafta yayınlanan bir raporda Bitdefender, geliştiricileri Mart ayında operasyonları durdurmaya iten gerilemeye rağmen Raccoon Locker’ın geri döneceğini tahmin etmişti. Sekoia’nın bu hafta paylaştığı bir değerlendirme. Sekoia, “Geliştiriciler siber suçluların ihtiyaçlarına göre uyarlanmış bir sürüm uyguladıkça ve omurga sunucularını büyük yükleri kaldıracak şekilde ölçekledikçe Raccoon Stealer v2’nin yeniden canlanmasını bekliyoruz.” Dedi.



siber-1