کارشناسان امنیتی پلتفرم آنلاین Zscaler تحلیلی از نوع جدید بدافزار شناخته شده Raccoon Stealer منتشر کردهاند.
مجموعه Zscaler در یک توصیهنامه امنیتی نوشت که نسخه جدید بدافزار برخلاف نسخههای قبلی که عمدتاً در C++ نوشته شده بودند، به زبان C نوشته شده است.
بدافزار Raccoon Stealer 2.0 دارای یک back-end و front-end جدید و کدی برای سرقت اطلاعات کاربری و سایر دادهها به شکل کاملاً مؤثرتر است.
نسخه جدید سارق اعتبارنامه همچنین میتواند روی سیستمهای ۳۲ و ۶۴ بیتی بدون نیاز به هیچ گونه وابستگی اضافی کار کند، در عوض هشت DLL قانونی را مستقیماً از سرورهای C2 خود (بهجای تکیه بر API ربات تلگرام) دریافت کند.
سرور C2 همچنین مسئول پیکربندی بدافزار است، از جمله برنامههای هدف، URL میزبان DLL و توکنهایی برای استخراج دادهها. سپس سرورها دادههای فینگرپرینت دستگاه را دریافت میکنند و منتظر درخواستهای POST فردی میمانند که حاوی اطلاعات سرقت شده است.
بر اساس گزارشها، انواع دادههایی که توسط Raccoon Stealer 2.0 به سرقت رفته است شامل اطلاعات فینگرپرینت سیستم، رمزهای عبور مرورگر، کوکیها، دادههای تکمیل خودکار و کارتهای اعتباری ذخیرهشده، کیف پولهای ارزهای دیجیتال، فایلهای موجود بر روی همه دیسکها، اسکرینشاتها و لیستهای برنامههای نصب شده است.
مجموعه Zscaler نوشت: «ما همچنین شاهد تغییری در نحوه پنهان کردن Raccoon Stealer v2 با استفاده از مکانیزمی بودیم که در آن نامهای API بهجای بارگذاری استاتیک به صورت پویا حل میشوند.»
طبق گزارشات، عملیات Raccoon Stealer در مارس ۲۰۲۲ پس از مرگ یکی از توسعهدهندگان اصلی در جریان تهاجم روسیه به اوکراین، تعطیل شد.
این تیم سپس در تالارهای دارکوب نوشت که بر اساس تحلیل تحلیلگران امنیتی در Sekoia، با یک پست وبلاگ در یک انجمن دارکوب نامعلوم که نشان میدهد Raccoon Stealer 2.0 قبلاً در ماه میدر حال توسعه بود، بازخواهند گشت.
تحلیل Zscaler میگوید: Raccoon Stealer که به عنوان Malware-as-a-Service فروخته میشود در چند سال گذشته محبوب شده و چندین مورد از این بدافزار مشاهده شده است.
«نویسندگان این بدافزار دائماً ویژگیهای جدیدی را به این خانواده بدافزار اضافه میکنند. این دومین انتشار بزرگ بدافزار پس از اولین انتشار در سال ۲۰۱۹ است. این نشان میدهد که بدافزار احتمالاً تکامل مییابد و همچنان به عنوان تهدیدی دائمی برای سازمانها باقی میماند.»