アライグマ泥棒
画像: 旅の途中

情報窃取マルウェア Raccoon Stealer の開発者は、サイバー犯罪者にこのマルウェアの新しいバージョン 2.3.0 を宣伝するために、ハッカー フォーラムへの 6 か月にわたる活動休止期間を終了しました。

Raccoon は、2019 年から存在し、最もよく知られ広く使用されている情報窃取マルウェア ファミリの 1 つで、月額 200 ドルのサブスクリプション モデルを通じて脅威アクターに販売されています。

このマルウェアは、ログイン認証情報、クレジット カード情報、閲覧履歴、Cookie、暗号通貨ウォレット アカウントなどのデータを 60 以上のアプリケーションから盗みます。

プロジェクトは 2022 年 10 月に不確実な時期に入り、主著者である Mark Sokolovsky がオランダで逮捕され、FBI が当時のサービスとしてのマルウェアのインフラストラクチャを停止しました。

アライグマが帰ってきた

VX-Undergroundによって最初に発見されたハッカー フォーラムへの新しい投稿の中で、マルウェアの現在の作成者は、ユーザー エクスペリエンスを豊かにする新機能を提供するために時間を費やして「たゆまぬ努力」をして戻ってきたことをサイバー犯罪コミュニティに伝えました。

これらの新機能は、マルウェアを情報窃盗市場のトップレベルに保つことを目的として、「顧客」のフィードバック、リクエスト、サイバー犯罪の傾向に基づいて実装されました。

ハッカーフォーラムに投稿する
ハッカーフォーラムでの Raccoon v2.3.0 の発表
出典: @vxunderground

Cyberint のレポートによると、Raccoon 2.3.0 にはいくつかの「生活の質」と OpSec の改善が導入されており、より簡単かつ安全に使用できるようになり、スキルの低い攻撃者にとっても使いやすくなり、研究者によって追跡される可能性が低くなります。そして法執行機関。

まず、Raccoon Stealer ダッシュボードの新しいクイック検索ツールにより、ハッカーは特定の盗まれたデータを簡単に見つけて、大規模なデータセットから資格情報、ドキュメント、またはその他の盗まれたデータを取得できます。

Raccoon の新しい検索ツール
Raccoon の新しい検索ツール
出典: サイバリント

次に、新しい Raccoon バージョンには、同じ IP から生成される複数のアクセス イベントなど、セキュリティ支援ボットに関連する可能性のある不審なアクティビティに対抗するシステムが搭載されています。

そのような場合、Raccoon は対応するレコードを自動的に削除し、それに応じてすべてのクライアント パッドを更新します。

ユーザーはマルウェアのダッシュボードから各 IP アドレスのアクティビティ プロファイル スコアを直接確認できるようになり、緑、黄、赤のスマイリー アイコンがボット アクティビティの可能性を示します。

ボット活動の可能性を示すために使用されるスマイリー
ボット活動の可能性を示すために使用されるスマイリー
出典: サイバリント

セキュリティ研究者に対する保護手段として組み込まれた 3 番目の重要な新機能は、サイバー インテリジェンス企業が Raccoon のトラフィックを監視するために使用するクローラーやボットによって使用される IP を検出してブロックするレポート システムです。

最後に、新しい Log Stats パネルにより、ユーザーは自分の操作、最も成功した標的地域、侵害されたコンピューターの数などの「概要」を確認できます。

新規ロググラフ画面
新規ロググラフ画面
出典: サイバリント

情報窃取者は、サイバー犯罪コミュニティで広く採用されているため、ペイロードが無数のチャネルを介して多数の多様な対象者に到達するため、家庭ユーザーと企業の両方にとって大きな脅威となっています。

このタイプのマルウェアは資格情報だけでなく Cookie も盗むため、攻撃者が盗んだセッション Cookie を使用して多要素認証をバイパスし、企業ネットワークに侵入する可能性があります。ネットワーク上に足場を築くと、データ盗難、ランサムウェア、BEC 詐欺、サイバースパイ活動など、さまざまな攻撃につながる可能性があります。

Raccoon Stealer およびすべての情報窃取者から保護するには、ブラウザに資格情報を保存する代わりに、パスワード マネージャーを使用する必要があります。

さらに、すべてのアカウントで多要素認証を有効にし、Google 広告、YouTube 動画、Facebook 投稿などの正規のソースから疑わしい Web サイトにリダイレクトされた場合でも、そこから実行可能ファイルをダウンロードしないようにする必要があります。