Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Analiza Raccoon Stealer i aktywna kampania wobec klientów banku ING

26 maja 2021, 09:04 | W biegu | komentarze 4

W mediach związanych z cybersecurity obecnie gorący temat stanowi ransomware. Oczywiście analiza tego problemu jest jak najbardziej potrzebna, jednak ataki na znane korporacje i milionowe kwoty okupu przyćmiewają zagrożenia czyhające na szarego Kowalskiego. W tym artykule omówimy rodzaj złośliwego oprogramowania, jakim jest infostealer, na przykładzie serwisu Raccoon Stealer spróbujemy oszacować skalę zjawiska, a na koniec pokrótce wspomnimy o atakach na klientów banku ING.

Czym jest Raccoon Stealer?

Raccoon od co najmniej 2019 roku działa w formie “Malware as a Service”, czyli pełni funkcję serwisu, który udostępnia innym cyberprzestępcom złośliwe oprogramowanie (w tym przypadku – Infostealer). Usługa dalej działa, a ostatnia duża aktualizacja miała miejsce 27 kwietnia:

Zadaniem infostealera jest kradzież wrażliwych i poufnych informacji, takich jak: dane zapisane w przeglądarkach (np.: loginy i hasła, ciasteczka, historia przeglądania), portfele kryptowalutowe przechowywane na urządzeniu (np. wallet.dat)  czy informacje o systemie:

* Zdjęcia pochodzą z analizy firmy Cyber Reason

Niektórzy nie zdają sobie sprawy z faktu, że gdy zapisują swoją nazwę użytkownika i hasło w przeglądarce, dane te lądują w pliku bazy danych SQLite Login Data na naszym urządzeniu. Przeglądarka w takiej formie przechowuje również informacje o ciasteczkach, historię przeglądania czy dane automatycznego uzupełniania. Wyciągnięcie tych danych z bazy przez złośliwe oprogramowanie jest banalne. Co ciekawe, na tej samej zasadzie działają legalne programy do odzyskiwania haseł, takie jak np. ChromePass czy PasswordFox od Nirsoft:

Po uruchomieniu złośliwego oprogramowania pierwsza faza polega na zebraniu wyżej wspomnianych wrażliwych danych do oddzielnych plików:

Tak zebrane dane są następnie wysyłane na serwer przestępców:

Gdy nasze dane zostaną wykradzione, infostealer aktywuje tryb „autodestrukcji”:

Co czyni ten rodzaj złośliwego oprogramowania atrakcyjnym dla cyberprzestępców?

  • Przestępcy są w stanie wynająć tego typu rozwiązanie za śmiesznie niską cenę:
  • Usługi “Malware as a Service” odznaczają się tym, że oferują „w cenie” hosting oraz FUD – nasze złośliwe oprogramowanie nie jest wykrywane przez antywirusy
  • Większa żywotność kampanii przestępców (oprogramowanie po kradzieży danych samodzielnie usuwa się z systemu bez wiedzy ofiary)
  • Łatwiejsze do zarządzania niż botnet czy ataki na korporacje (ransomware)
  • W związku z atakiem na Colonial Pipeline i banem ransomware na forach cyberprzestępczych część adwersarzy może zdecydować się na „bezpieczniejszy” rodzaj ataków 

Metody infekowania użytkowników

Jedną z bardziej popularnych metod infekowania użytkowników są e-maile z załącznikami pokroju faktura.js czy typowe „złośliwe makro” w dokumentach Microsoft Office:

Kolejną bardzo popularną metodą infekowania użytkowników jest nielegalne oprogramowanie. Pobierając i uruchamiając „darmową” grę komputerową, Photoshop czy tak zwany „aktywator Windowsa”, płacimy naszymi danymi.

Warto zwracać uwagę na dwie sztuczki stosowane przez cyberprzestępców:

  • Archiwum 7zip / WinRar z hasłem

Funkcja nadawania hasła dla archiwum sprawia, że nasz „darmowy” program jest w postaci zaszyfrowanej do momentu wpisania hasła, co uniemożliwia skanerom wykrycie złośliwego oprogramowania:

Pamiętaj, że nawet jeśli oprogramowanie, które pobrałeś, działa, nie oznacza to, że w tle nie zostało uruchomione złośliwe oprogramowanie:

* Przykładowe uruchomienie złośliwego kodu w pamięci w aplikacji C#

Wyżej omawiany Raccoon Stealer, jak prawie każdy infostealer, po kradzieży naszych danych samodzielnie usuwa się z systemu: 

Infostealery lubią również podszywać się pod legalne, darmowe oprogramowanie pokroju NordVpn czy Malwarebytes:

Agregacja danych

Po zebraniu wystarczającej ilości wykradzionych danych przestępcy przechodzą do kolejnego etapu, czyli do ich agregacji, a konkretniej – wyłowienia interesujących danych, a następnie ich wykorzystania. Choć przestępcy nie udostępniają żadnych statystyk (z oczywistych powodów), to jednak zdarzają się również wpadki, które pokazują skalę ataków:

Według badacza w wyniku błędnej konfiguracji Elasticsearch przez przestępcę aż 100 000 wykradzionych danych było publicznie dostępnych. 

Elasticsearch to narzędzie umożliwiające wyszukiwanie i analizowanie gromadzonych przez nas danych:

Polacy nie gęsi…

Jak się okazuje, infostealery są wykorzystywane również przez polskich cyberprzestępców:

Przestępca jest zainteresowany nabyciem wykradzionych danych dostępowych do banku ING. Sformułowanie “logs” jest zazwyczaj używane do określania dużej ilości wykradzionych danych, w których potencjalne hasło ofiary do banku ING widniałoby w mniej więcej takim formacie:

Jak możemy stwierdzić po datach wpisów, cyberprzestępca w dość krótkim okresie znalazł to, na czym mu zależało, a następnie szukał pomocy do operacji wyprowadzania pieniędzy z konta ofiary (np. znalezienie tak zwanego słupa). Ponadto ten sam przestępca dodał w ostatni piątek kolejny post, w którym zaznaczył, że „współpraca” może przynieść nawet 20 000 dolarów tygodniowo:

Oczywiście tego typu ogłoszeń jest znacznie więcej, więc nie jest to jednorazowa akcja. Co do samej kampanii, to poinformowaliśmy o całym zajściu osobę współpracującą z ING.

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. JanekDzbanek

    Dlaczego wszystkie najpopularniejsze fora tego typu sa rosyjskie…
    Swoja droga, co to za forum?

    Odpowiedz
    • Autor

      Forum to xss.is, choć nie jest to zapewne jedyne takie forum.

      Odpowiedz
  2. Łukasz

    „bot_id=90059C37-1320-41A4-B58D-2B75A9850D2F_admin&config_id=578f40f3a5831c237fbfd4304fe” Jak już maskujecie dane to masujcie je dokładnie bo wersję b64 widać bardzo dobrze

    Odpowiedz
    • Autor

      Spokojnie, jeśli coś nie zostało „zamaskowane” wystarczająco dobrze w artykule, to oznacza, że nie było istotne. W tym przypadku zdjęcie to fragment analizy od badaczy z firmy Cyber Reason, a sam raport pochodzi z 2020 roku. Innymi słowy, nie jest to żadna „wrażliwa” informacja, ale szanujemy za czujność!

      Odpowiedz

Odpowiedz