«Троян-как-услуга» от русскоязычных хакеров заразил сотни тысяч устройств

ПО Безопасность Бизнес
, Текст: Роман Георгиев
Разработанный русскоязычными вирусописателями вредонос Raccoon Stealer крадет информацию о кредитных картах, криптовалютных кошельках, а также данные из всех популярных браузеров и почтовых клиентов.


Ограбление по-русски

Вредоносная программа Raccoon Stealer, крадущая конфиденциальные данные, с начала года успела заразить сотни тысяч устройств по всему миру. Ее авторы предлагают ее по модели MaaS (Malware-as-a-Service; вредоносное ПО как услуга) с круглосуточной техподдержкой. Несмотря на отсутствие какой-либо особой технической сложности, Racoon привлекает массу внимания со стороны киберпреступного сообщества.

По данным компании Cybereason, Raccoon Stealer, также известный как Mohazo и Racealer, является довольно простой по принципам работы программой, которая распространяется через наборы эксплойтов Fallout и RIG. Raccoon написан на C++ и работает в 32- и 64-битных средах. Некоторые антивирусы регистрировали его изначально как программу, крадущую пароли, однако сейчас уже ясно, что она может красть также информацию о кредитных картах, криптовалютных кошельках, а также данные из всех популярных браузеров и почтовых клиентов. Raccoon также перехватывает cookie и системную информацию.

Авторы вредоноса говорят на русском языке; изначально он распространялся по русскоязычным же хакерским форумам, но теперь его также рекламируют в англоязычном сегменте киберподполья.

Ничего личного, просто сервис

Как уже сказано, создатели Raccoon предлагают его по модели Malware-as-a-Service; по полной аналогии с SaaS-моделью, арендаторы получают автоматизированную панель управления, bulletproof-хостинг и круглосуточную клиентскую поддержку на русском и английском языках. Стоимость аренды составляет $200 в месяц

haker600.jpg
Вредонос Raccoon, работающий по модели MaaS, с весны заразил сотни тысяч устройств

Более того, продолжается активная разработка вредоноса, обновления выпускаются каждые несколько дней.

Интересно, что у Raccoon уже немало критиков. Один из них — Alexuiop1337, разработчик другого вредоноса, крадущего данные (Predatorstealer) написал пространный пост с критикой кода и инфраструктуры Raccoon, указав на множество ошибок и слабых мест.

Другие критики отметили невысокий процент успешных заражений (45%), «баги» в контрольной панели и иногда неполное скачивание интересующей пользователей информации.

Вскоре после запуска Raccoon минувшей весной кто-то слил базу его пользователей; разработчики Raccoon заявили, что речь шла не о взломе, а о недовольстве одного из членов команды размерами его выплат. После неудачной попытки заставить других платить ему больше он выложил базу в общий доступ.

Кто-то также вполне успешно взломал панель управления, по-видимому, используя баги, о которых писал Alexuiop1337. Он же заявил, что с высокой долей вероятности одним из основных разработчиков Raccoon является некто Glad0ff, вирусописатель, известный по криптомайнерам Decrux и Acrux, троянцу MimosaRAT и загрузчику вредоносов ProtonBot.

Впрочем, Raccoon привлек и немало позитивных отзывов — за устройство и работу панели управления, за оперативную техподдержку и довольно высокий «отстук» — т. е. процент успешных заражений. У некоторых он достигал 90%.

«Обращает на себя внимание тот факт, что операторы вредоносной программы используют подходы, характерные для легитимного бизнеса, — указывает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — SaaS-модель, эффективная и оперативная техподдержка, активная реклама среди потенциальных клиентов. В сфере легитимного бизнеса все это работало бы точно так же. Уже нельзя даже сказать, что киберзлоумышленники имитируют бизнес-деятельность, они занимаются ею в самом буквальном смысле. И с немалой эффективностью: довольно высокая цена на аренду Raccoon указывает на высокую же его маржинальность».