Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Analiza Raccoon Stealer i aktywna kampania wobec klientów banku ING
W mediach związanych z cybersecurity obecnie gorący temat stanowi ransomware. Oczywiście analiza tego problemu jest jak najbardziej potrzebna, jednak ataki na znane korporacje i milionowe kwoty okupu przyćmiewają zagrożenia czyhające na szarego Kowalskiego. W tym artykule omówimy rodzaj złośliwego oprogramowania, jakim jest infostealer, na przykładzie serwisu Raccoon Stealer spróbujemy oszacować skalę zjawiska, a na koniec pokrótce wspomnimy o atakach na klientów banku ING.
Czym jest Raccoon Stealer?
Raccoon od co najmniej 2019 roku działa w formie “Malware as a Service”, czyli pełni funkcję serwisu, który udostępnia innym cyberprzestępcom złośliwe oprogramowanie (w tym przypadku – Infostealer). Usługa dalej działa, a ostatnia duża aktualizacja miała miejsce 27 kwietnia:
Zadaniem infostealera jest kradzież wrażliwych i poufnych informacji, takich jak: dane zapisane w przeglądarkach (np.: loginy i hasła, ciasteczka, historia przeglądania), portfele kryptowalutowe przechowywane na urządzeniu (np. wallet.dat) czy informacje o systemie:
* Zdjęcia pochodzą z analizy firmy Cyber Reason
Niektórzy nie zdają sobie sprawy z faktu, że gdy zapisują swoją nazwę użytkownika i hasło w przeglądarce, dane te lądują w pliku bazy danych SQLite Login Data na naszym urządzeniu. Przeglądarka w takiej formie przechowuje również informacje o ciasteczkach, historię przeglądania czy dane automatycznego uzupełniania. Wyciągnięcie tych danych z bazy przez złośliwe oprogramowanie jest banalne. Co ciekawe, na tej samej zasadzie działają legalne programy do odzyskiwania haseł, takie jak np. ChromePass czy PasswordFox od Nirsoft:
Po uruchomieniu złośliwego oprogramowania pierwsza faza polega na zebraniu wyżej wspomnianych wrażliwych danych do oddzielnych plików:
Tak zebrane dane są następnie wysyłane na serwer przestępców:
Gdy nasze dane zostaną wykradzione, infostealer aktywuje tryb „autodestrukcji”:
Co czyni ten rodzaj złośliwego oprogramowania atrakcyjnym dla cyberprzestępców?
- Przestępcy są w stanie wynająć tego typu rozwiązanie za śmiesznie niską cenę:
- Usługi “Malware as a Service” odznaczają się tym, że oferują „w cenie” hosting oraz FUD – nasze złośliwe oprogramowanie nie jest wykrywane przez antywirusy
- Większa żywotność kampanii przestępców (oprogramowanie po kradzieży danych samodzielnie usuwa się z systemu bez wiedzy ofiary)
- Łatwiejsze do zarządzania niż botnet czy ataki na korporacje (ransomware)
- W związku z atakiem na Colonial Pipeline i banem ransomware na forach cyberprzestępczych część adwersarzy może zdecydować się na „bezpieczniejszy” rodzaj ataków
Metody infekowania użytkowników
Jedną z bardziej popularnych metod infekowania użytkowników są e-maile z załącznikami pokroju faktura.js czy typowe „złośliwe makro” w dokumentach Microsoft Office:
Kolejną bardzo popularną metodą infekowania użytkowników jest nielegalne oprogramowanie. Pobierając i uruchamiając „darmową” grę komputerową, Photoshop czy tak zwany „aktywator Windowsa”, płacimy naszymi danymi.
Warto zwracać uwagę na dwie sztuczki stosowane przez cyberprzestępców:
- Archiwum 7zip / WinRar z hasłem
Funkcja nadawania hasła dla archiwum sprawia, że nasz „darmowy” program jest w postaci zaszyfrowanej do momentu wpisania hasła, co uniemożliwia skanerom wykrycie złośliwego oprogramowania:
Pamiętaj, że nawet jeśli oprogramowanie, które pobrałeś, działa, nie oznacza to, że w tle nie zostało uruchomione złośliwe oprogramowanie:
* Przykładowe uruchomienie złośliwego kodu w pamięci w aplikacji C#
Wyżej omawiany Raccoon Stealer, jak prawie każdy infostealer, po kradzieży naszych danych samodzielnie usuwa się z systemu:
Infostealery lubią również podszywać się pod legalne, darmowe oprogramowanie pokroju NordVpn czy Malwarebytes:
Agregacja danych
Po zebraniu wystarczającej ilości wykradzionych danych przestępcy przechodzą do kolejnego etapu, czyli do ich agregacji, a konkretniej – wyłowienia interesujących danych, a następnie ich wykorzystania. Choć przestępcy nie udostępniają żadnych statystyk (z oczywistych powodów), to jednak zdarzają się również wpadki, które pokazują skalę ataków:
Według badacza w wyniku błędnej konfiguracji Elasticsearch przez przestępcę aż 100 000 wykradzionych danych było publicznie dostępnych.
Elasticsearch to narzędzie umożliwiające wyszukiwanie i analizowanie gromadzonych przez nas danych:
Polacy nie gęsi…
Jak się okazuje, infostealery są wykorzystywane również przez polskich cyberprzestępców:
Przestępca jest zainteresowany nabyciem wykradzionych danych dostępowych do banku ING. Sformułowanie “logs” jest zazwyczaj używane do określania dużej ilości wykradzionych danych, w których potencjalne hasło ofiary do banku ING widniałoby w mniej więcej takim formacie:
Jak możemy stwierdzić po datach wpisów, cyberprzestępca w dość krótkim okresie znalazł to, na czym mu zależało, a następnie szukał pomocy do operacji wyprowadzania pieniędzy z konta ofiary (np. znalezienie tak zwanego słupa). Ponadto ten sam przestępca dodał w ostatni piątek kolejny post, w którym zaznaczył, że „współpraca” może przynieść nawet 20 000 dolarów tygodniowo:
Oczywiście tego typu ogłoszeń jest znacznie więcej, więc nie jest to jednorazowa akcja. Co do samej kampanii, to poinformowaliśmy o całym zajściu osobę współpracującą z ING.
~ Jakub Bielaszewski
Dlaczego wszystkie najpopularniejsze fora tego typu sa rosyjskie…
Swoja droga, co to za forum?
Forum to xss.is, choć nie jest to zapewne jedyne takie forum.
„bot_id=90059C37-1320-41A4-B58D-2B75A9850D2F_admin&config_id=578f40f3a5831c237fbfd4304fe” Jak już maskujecie dane to masujcie je dokładnie bo wersję b64 widać bardzo dobrze
Spokojnie, jeśli coś nie zostało „zamaskowane” wystarczająco dobrze w artykule, to oznacza, że nie było istotne. W tym przypadku zdjęcie to fragment analizy od badaczy z firmy Cyber Reason, a sam raport pochodzi z 2020 roku. Innymi słowy, nie jest to żadna „wrażliwa” informacja, ale szanujemy za czujność!