מחקר סופוס - קמפיין התקיפה "הראקון המשתולל" משתמש בטלגרם כדי לתקוף משתמשים

הכלי לגניבת מטבעות קריפטו מועבר לקורבנות כשהוא ארוז בכופרה ותוכן זדוני נוסף, כגון תוכנה לכריית מטבעות קריפטוגרפיים
סופוס, מובילה גלובלית באבטחת סייבר של הדור הבא, פרסמה מחקר חדש בשם "Trash Panda as a Service: Raccoon Stealer Steals Cookies, Cryptocoins and More". הדוח מציג כיצד תוכנת הגניבה Raccoon Stealer מסתווה לתוכנה פיראטית כדי לבצע חטיפה של מטבעות קריפטוגרפיים ומידע, בעודה מזריקה למערכת הפגועה תוכן זדוני, כגון תוכנה לכריית מטבעות קריפטוגרפיים.

"בימים שבהם חלק גדול מהחיים הפרטיים והמקצועיים שלנו מסתמכים על שירותים המסופקים דרך הדפדפן, כנופיות פשע המפעילות קוד זדוני לגניבת מידע מגבירות את התקיפות על הרשאות לשירותי רשת המספקות להם גישה למידע משמעותי בהרבה בהשוואה לגניבת סיסמאות", אמר שון גלגר, חוקר אבטחה בכיר, סופוס.

"הקמפיין שעקבנו אחריו מראה כיצד Raccoon Stealer אוסף אליו סיסמאות, קוקיז, וטקסט המתמלא באופן אוטומטי באתרים, כולל נתוני כרטיסי אשראי ומידע אישי אחר שלעיתים מאוחסן בדפדפן. הודות לעדכון clipper האחרון, Raccoon Stealer כעת תוקף גם ארנקים דיגיטליים, והוא יכול למשוך או לטעון קבצים – לדוגמא, קוד זדוני נוסף – במערכות הפגועות. אלו הן דרכים שהעבריינים יכולים להרוויח מהם, וכל זאת באמצעות שירות תקיפה העומד 'להשכרה' במחיר של 75 דולר לשבוע".

Raccoon Stealer מופץ בדרך כלל דרך דואר זבל. עם זאת, בקמפיין שנחקר על ידי סופוס, הוא מופץ באמצעות "מנחיתים" (droppers) שמפעילי הקמפיין הסוו כתוכנה להתקנת תוכנות פרוצות. המנחיתים האלה אורזים בתוכם את Raccoon Stealer ביחד עם כלי תקיפה נוספים, כולל תוספים זדוניים לדפדפן, בוטים להונאות מזויפות ביוטיוב, ואת Djvu/Stop – תוכנת כופר המכוונת בעיקר כנגד משתמשים ביתיים. בנוסף, מפעילי Racoon Stealer משתמשים זו הפעם הראשונה גם בצ'אטים בטלגרם לצורך תקשורת פיקוד ושליטה.

"גונבי מידע מהווים נישה חשובה בעולם פשיעת הסייבר. הם מציעים לעבריינים החזר מהיר על ההשקעה ומהווים עבורם נקודת כניסה זולה וקלה לביצוע התקפות גדולות", אמר גלגר. "עברייני סייבר מוכרים לעיתים קרובות את הרשאות הגישה שאספו ברשת האפלה. בכך, הם מאפשרים לתוקפים אחרים, כולל מפעילי תוכנות כופר או Initial Access Brokers, לנצל את ההרשאות לצורך הכוונות הזדוניות שלהם – לדוגמא, פריצה לרשת ארגונית דרך שירות צ'אט של סביבת העבודה. תוקפים יכולים גם להשתמש בהרשאות לצורך ביצוע התקפות ממוקדות על משתמשים אחרים באותה הפלטפורמה. יש ביקוש קבוע להרשאות גישה גנובות – במיוחד להרשאות המספקות גישה לשירותים לגיטימיים שהתוקפים יכולים להשתמש בהם כדי לארח או להפיץ קוד זדוני. גונבי מידע עלולים להיראות כאיומים ברמה נמוכה יותר, אבל הם לא".

סופוס ממליצה לארגונים המשתמשים בשירותים מקוונים לצורך צ'אט ושיתוף פעולה לעשות שימוש באימות רב שלבי (MFA) כדי להגן על חשבונות העובדים. הדבר מבטיח כי כל העובדים מחזיקים הגנה מעודכנת כנגד קוד זדוני בכל מחשב בו הם משתמשים כדי לגשת לשירותים הקשורים לעבודה. פתרון Sophos Intercept X מגן על משתמשים באמצעות זיהוי הפעולות וההתנהגות של קוד זדוני כמו Raccoon Stealer, כולל סריקה של פעילות חשודה בתוך הזיכרון והגנה מפני קוד זדוני נטול קבצים.