Bir kötü amaçlı yazılım geliştiricisi, yeni özellikleri denemek için sistemlerinde yaratılmalarını serbest bıraktı ve veriler, cybercriminal çaba gösteren bir Cybercrime İstihbarat platformunda sona erdi.
Tehdit aktör, düzinelerce başvurudan veri toplayabilen ve son iki yıldır popülerlikte büyüyen bir bilgi çarkı olan Rakun geliştiricisidir.
Stealer'ın bir varyantını test ederken, Rakun geliştiricisi kendi sistemlerini enfekte etti, hemen verileri komuta ve kontrol (C2) sunucusuna akmak ve daha ileride, Cybercrime forumlarına aktaran bir hareket.
Rakun Geliştiricinin Enfekte Test Sistemi, Hudson Rock'ın Cavalier Platformu ile, tehlikeye atan makineleri izleyen bir sibercrime istihbarat veritabanı ile bulundu.
Alon Gal, Hudson Rock Ortak Kurucu ve Baş Teknoloji Görevlisi, Raccoon Infostealer'ın Cavalier aracılığıyla izlenen birden fazla milyondan fazla ödün verdiğini söylüyor.
Araştırmacı, BleepingComputer'ı, Rakun Infostealer'ın geliştiricisinin şubat ayında makinelerini bulaştığını, ancak fark edilmediğinden, şirketin müşterilerine ait bir makine olmadığı için fark edilmedi.
IP adresi ile dikkat çekti, 1.1.1.1, komuta ve kontrol sunucusundaki bilerek değiştirildi, böylece gerçek olanın yakalanmayacaktı, Gal diyor. Yeterince komik, IP adresi CloudFlare'ın kamu malı adı sistemi (DNS) çözümleyici tarafından kullanılır.
Kendi kendine virüslü sistemden toplanan veriler, geliştiricinin kötü amaçlı yazılımın, herhangi bir bilgi çarkı için temel bir özellik olan Google Chrome'dan şifreleri ayıklama yeteneğini test ettiğini göstermektedir.
Rakun testinden geçirilen ek bilgiler, kötü amaçlı yazılımlarla ilişkili bir ad ve birden fazla e-posta adresi ortaya çıkardı.
Ne yazık ki, detaylar Rakun'un geliştiricisinin kimliğini belirlemek için yetersizdir. Gal, kötü amaçlı yazılım yaratıcısının "büyük olasılıkla [makine] enfekte olmuş" olduğunu söylüyor ve kötü amaçlı yazılımı serbest bırakmadan önce kim olduklarını ortaya çıkarabilecek detayları ortadan kaldırmak için yeterince dikkatliydi.
Örneğin, çeşitli hizmetler için kullanılan e-posta adresleri, "Rakun" veya "RaccoonStealer", müşteri iletişimi için kullanıldığını belirtendir.
Araştırmacı ayrıca Benjamin Engel, Berlin'den bir hacker ve 2014 Alman Hacker filminde ana karakter adını buldu.
Test sisteminden seçilen diğer detaylar, geliştiricinin test kutusunun, önde gelen cybercriminal grupları ile popüler olan Rus konuşulan bir foruma giriş yapmayı gösteren çerezleri olduğunu göstermiştir.
Gal, topluluktaki Raccoon Stealer hesabına bağlı kimliği ile foruma giriş yaparken üretilen çerezdeki kimliği karşılaştırabildi.
Bu şekilde toplanan bilgiler, Raccoon'un geliştiricisine gerçek bir isim koymak için gerekli ipuçlarını içermezken, siber suçlamaların da kaydırabileceğini ve hala koruyucuları yakalayabileceğiniz umutlar olduğunu göstermektedir.
Xloader Malware MacOS ve Windows sistemlerinden giriş yaparken
MacOS Malware Telgraf Hesapları, Google Chrome Verilerini Çalıştırır
Nobelium Hackerlar, Microsoft Müşteri Destek Araçları'na erişti
Kaynak: Bleeping Computer