Analiza Raccoon Stealer i aktywna kampania wobec klientów banku ING

W mediach związanych z cybersecurity obecnie gorący temat stanowi ransomware. Oczywiście analiza tego problemu jest jak najbardziej potrzebna, jednak ataki na znane korporacje i milionowe kwoty okupu przyćmiewają zagrożenia czyhające na szarego Kowalskiego. W tym artykule omówimy rodzaj złośliwego oprogramowania, jakim jest infostealer, na przykładzie serwisu Raccoon Stealer spróbujemy oszacować skalę zjawiska, a na koniec pokrótce wspomnimy o atakach na klientów banku ING.

Czym jest Raccoon Stealer?

Raccoon od co najmniej 2019 roku działa w formie “Malware as a Service”, czyli pełni funkcję serwisu, który udostępnia innym cyberprzestępcom złośliwe oprogramowanie (w tym przypadku – Infostealer). Usługa dalej działa, a ostatnia duża aktualizacja miała miejsce 27 kwietnia:

Zadaniem infostealera jest kradzież wrażliwych i poufnych informacji, takich jak: dane zapisane w przeglądarkach (np.: loginy i hasła, ciasteczka, historia przeglądania), portfele kryptowalutowe przechowywane na urządzeniu (np. wallet.dat)  czy informacje o systemie:

* Zdjęcia pochodzą z analizy firmy Cyber Reason

Niektórzy nie zdają sobie sprawy z faktu, że gdy zapisują swoją nazwę użytkownika i hasło w przeglądarce, dane te lądują w pliku bazy danych SQLite Login Data na naszym urządzeniu. Przeglądarka w takiej formie przechowuje również informacje o ciasteczkach, historię przeglądania czy dane automatycznego uzupełniania. Wyciągnięcie tych danych z bazy przez złośliwe oprogramowanie jest banalne. Co ciekawe, na tej samej zasadzie działają legalne programy do odzyskiwania haseł, takie jak np. ChromePass czy PasswordFox od Nirsoft:

Po uruchomieniu złośliwego oprogramowania pierwsza faza polega na zebraniu wyżej wspomnianych wrażliwych danych do oddzielnych plików:

Tak zebrane dane są następnie wysyłane na serwer przestępców:

Gdy nasze dane zostaną wykradzione, infostealer aktywuje tryb „autodestrukcji”:

Co czyni ten rodzaj złośliwego oprogramowania atrakcyjnym dla cyberprzestępców?

• Przestępcy są w stanie wynająć tego typu rozwiązanie za śmiesznie niską cenę:

• Usługi “Malware as a Service” odznaczają się tym, że oferują „w cenie” hosting oraz FUD – nasze złośliwe oprogramowanie nie jest wykrywane przez antywirusy
• Większa żywotność kampanii przestępców (oprogramowanie po kradzieży danych samodzielnie usuwa się z systemu bez wiedzy ofiary)
• Łatwiejsze do zarządzania niż botnet czy ataki na korporacje (ransomware)
• W związku z atakiem na Colonial Pipeline i banem ransomware na forach cyberprzestępczych część adwersarzy może zdecydować się na „bezpieczniejszy” rodzaj ataków 

Metody infekowania użytkowników

Jedną z bardziej popularnych metod infekowania użytkowników są e-maile z załącznikami pokroju faktura.js czy typowe „złośliwe makro” w dokumentach Microsoft Office:

Kolejną bardzo popularną metodą infekowania użytkowników jest nielegalne oprogramowanie. Pobierając i uruchamiając „darmową” grę komputerową, Photoshop czy tak zwany „aktywator Windowsa”, płacimy naszymi danymi.

Warto zwracać uwagę na dwie sztuczki stosowane przez cyberprzestępców:

• Archiwum 7zip / WinRar z hasłem

Funkcja nadawania hasła dla archiwum sprawia, że nasz „darmowy” program jest w postaci zaszyfrowanej do momentu wpisania hasła, co uniemożliwia skanerom wykrycie złośliwego oprogramowania:

Pamiętaj, że nawet jeśli oprogramowanie, które pobrałeś, działa, nie oznacza to, że w tle nie zostało uruchomione złośliwe oprogramowanie:

* Przykładowe uruchomienie złośliwego kodu w pamięci w aplikacji C#

Wyżej omawiany Raccoon Stealer, jak prawie każdy infostealer, po kradzieży naszych danych samodzielnie usuwa się z systemu: 

Infostealery lubią również podszywać się pod legalne, darmowe oprogramowanie pokroju NordVpn czy Malwarebytes:

Agregacja danych

Po zebraniu wystarczającej ilości wykradzionych danych przestępcy przechodzą do kolejnego etapu, czyli do ich agregacji, a konkretniej – wyłowienia interesujących danych, a następnie ich wykorzystania. Choć przestępcy nie udostępniają żadnych statystyk (z oczywistych powodów), to jednak zdarzają się również wpadki, które pokazują skalę ataków:

Nice! Exposed Elastic with 100k stolen credentials and cookies (logs from stealer). pic.twitter.com/fOWmtxsFH0

— Ashot Oganesyan (@ashotog) April 24, 2021

Według badacza w wyniku błędnej konfiguracji Elasticsearch przez przestępcę aż 100 000 wykradzionych danych było publicznie dostępnych. 

Elasticsearch to narzędzie umożliwiające wyszukiwanie i analizowanie gromadzonych przez nas danych:

Polacy nie gęsi…

Jak się okazuje, infostealery są wykorzystywane również przez polskich cyberprzestępców:

Przestępca jest zainteresowany nabyciem wykradzionych danych dostępowych do banku ING. Sformułowanie “logs” jest zazwyczaj używane do określania dużej ilości wykradzionych danych, w których potencjalne hasło ofiary do banku ING widniałoby w mniej więcej takim formacie:

Jak możemy stwierdzić po datach wpisów, cyberprzestępca w dość krótkim okresie znalazł to, na czym mu zależało, a następnie szukał pomocy do operacji wyprowadzania pieniędzy z konta ofiary (np. znalezienie tak zwanego słupa). Ponadto ten sam przestępca dodał w ostatni piątek kolejny post, w którym zaznaczył, że „współpraca” może przynieść nawet 20 000 dolarów tygodniowo:

Oczywiście tego typu ogłoszeń jest znacznie więcej, więc nie jest to jednorazowa akcja. Co do samej kampanii, to poinformowaliśmy o całym zajściu osobę współpracującą z ING.

~ Jakub Bielaszewski