Rakun stealer kötü amaçlı yazılım, hackerlara parola çalma işlevleri ve yükseltilmiş operasyonel kapasite sunan siber suç forumlarında dolaşan ikinci büyük bir sürümle geri döndü.
Rakun stealer operasyonu, operatörlerinin baş geliştiricilerden birinin Rusya'nın Ukrayna'yı istilası sırasında öldürüldüğünü açıkladığı Mart 2022'de kapandı.
Kalan ekip, yükseltilmiş altyapı ve daha fazla yetenekle MAAS (hizmet olarak kötü amaçlı yazılım) projesini yeniden başlatarak ikinci bir sürümle geri döneceğine söz verdi.
Sekoia'daki güvenlik analistlerine göre, Raccoon Stealer 2.0 şimdi bu ayın başlarında kötü amaçlı yazılım analistleri tarafından yakalanan ilk örneklerle hack forumlarında tanıtıldı.
Projenin yöneticisi, 2 Haziran 2022'de bir teaser yayınladı ve topluluğa rakun stealer 2.0 testinin iki hafta boyunca devam ettiğini ve "müşteriler" in beta ile mutlu olduğunu bildirdi.
Kötü amaçlı yazılım yazarlarına göre, yeni rakun sürümü, kimlik bilgilerini ve diğer verileri çalmak için yeni bir arka uç, ön uç ve kod içeren C/C ++ kullanılarak sıfırdan oluşturuldu.
8 Haziran 2022'de Twitter'daki analistler arasında yeni bir kötü amaçlı yazılım aile tespiti tartışıldı ve “RecordBreaker” adını atadı, bunun rakun stealer'ın bir sonraki büyük sürümü olduğunu fark etmedi.
Sekoia’nın teknik analizi, bu 56KB örneğinin herhangi bir bağımlılık olmadan 32 ve 64 bit sistem üzerinde çalışabilen yeni rakun olduğunu ve sadece C2 sunucularından sekiz meşru DLL getirdiğini doğrulamaktadır.
C2 ayrıca kötü amaçlı yazılımları yapılandırmasını sağlar (Hedef için Uygulamalar, DLL'leri barındıran URL, veri açığa çıkması için jeton), makine parmak izi verileri alır ve daha sonra çalınan bilgileri içeren bireysel yayın isteklerini bekler.
Rakun Stealer 2.0 tarafından çalınan veriler aşağıdakileri içerir:
Kötü amaçlı yazılım yazarları, söndürülmüş verilerin şifrelendiğini iddia ederken, Sekoia analiz edilen örnekte bu tür işlevleri gözlemlemedi.
Öne çıkan şey, yeni bir rekoru her topladığında veri göndermesidir, bu da tespit riskini artıran ancak kötü amaçlı yazılım keşfedilip ana makineden sökülene kadar maksimum etkinlik sağlar.
Rakun stealer’ın piyasadan çıkışı o kadar kısaydı ki, ona daha fazla geçici bir ara diyecekti, bu yüzden ne itibarı ne de siber suçlu ilgisi kaybolmadı.
Mars stealer ve Jester Stealer gibi rakun stealer'ın arası diğer bilgi çalmacılar görünürken, hiçbirinin rakunların şöhretine ve itibarına ulaşma şansı yoktu.
Raporda, “Geliştiriciler siber suçluların (verimlilik, performans, çalma yetenekleri vb.) İhtiyaçlarına göre uyarlanmış bir versiyon uyguladıkları ve büyük yükleri işlemek için omurga sunucularını ölçeklendirdikleri için rakun stealer V2'nin yeniden canlanmasını bekliyoruz” diyor Sekoia.
Son olarak, Raccoon Stealer’ın ikinci büyük sürümünün şu anda sadece sınırlı sayıda bilgisayar korsanı, büyük olasılıkla önceki müşteriler için mevcut olduğunu belirtmek gerekir. Maliyet 275 $/ay veya haftada 125 $ olarak ayarlanmıştır.
Operatörleri, muhtemelen hala kötü amaçlı yazılımların bazı yönleri üzerinde çalıştıkları için rakunların geniş kullanılabilirliğini duyurmamayı seçtiler.
Sekoia, incelenen örnekte modern anti-analizi ve tespit kaçınma mekanizmalarının olmadığını vurgulamaktadır, böylece bunlar daha sonra uygulanabilir.
GÜNCELLEME 28 Haziran: Rakun Stealer 2.0 panelinin ekran görüntülerini 3xp0rt tarafından sağlanan ekran görüntüleri eklemek için güncelledik. Ayrıca, araştırmacı bize sahte olduğunu ve kötü amaçlı yazılım projesiyle ilgili olmadığını doğruladıktan sonra platformda bir mesaj gösteren bir ekran görüntüsünün yanı sıra rakun telgrafından bahsettik.
Eternity Malware kiti stealer, madenci, solucan, fidye yazılımı araçları sunar
Alman otomobil üreticileri yıl süren kötü amaçlı yazılım kampanyasını hedef aldı
Pypi Python paketleri, güvenli olmayan sitelere çalınan AWS anahtarları göndererek yakalandı
Google Play Store'daki Android kötü amaçlı yazılım 2 milyon indirme alıyor
Zehirlenmiş CCleaner Arama Sonuçları Bilgi Çalma Kötü Yazılım Yayılıyor
Kaynak: Bleeping Computer