הרקונים מרוקנים את ארנק הקריפטו

נחשפה תוכנת גניבה שקרויה על שם חיה חביבה למדי: Raccoon Stealer. חוקרי סופוס חשפו באחרונה את אותו "דביבון" – כלי שמסתווה לתוכנה פיראטית וחוטף מטבעות קריפטוגרפיים ומידע, בעודו מזריק למערכת הפגועה תוכן זדוני, כגון כלי לכריית מטבעות קריפטוגרפיים.

על פי חוקרי ענקית הגנת הסייבר, ההאקרים משתמשים בתצורת נוזקה כשירות, או Trash Panda as a Service.

מעקב אחר הקמפיין העלה כי תוכנת ה-Raccoon Stealer אוספת אליה סיסמאות, קוקי'ז וטקסט שמתמלא באופן אוטומטי באתרים, כולל נתוני כרטיסי אשראי ומידע אישי אחר שלעתים מאוחסן בדפדפן. "הודות לעדכון Clipper האחרון", כתבו החוקרים, "Raccoon Stealer כעת תוקפת גם ארנקים דיגיטליים, והיא יכולה למשוך או לטעון קבצים – לדוגמה, נוזקה נוספת – במערכות הפגועות. אלה הן דרכים שהעבריינים יכולים להרוויח מהן, וכל זאת באמצעות שירות תקיפה שעומד 'להשכרה' במחיר של 75 דולר לשבוע".

"בימים שבהם חלק גדול מהחיים הפרטיים והמקצועיים שלנו מסתמכים על שירותים המסופקים דרך הדפדפן, כנופיות פשע שמפעילות נוזקות לגניבת מידע מגבירות את התקיפות על הרשאות לשירותי רשת. אלה מספקות להם גישה למידע משמעותי בהרבה בהשוואה לגניבת סיסמאות", אמר שון גלגר, חוקר אבטחה בכיר בסופוס.

ה-"דביבון הגונב" בפעולה. מקור: סופוס

הנוזקה מופצת באמצעות "מנחיתים" – ולא דרך הספאם

Raccoon Stealer מופצת בדרך כלל דרך דואר הזבל, אולם בקמפיין שנחקר על ידי סופוס היא מופצת באמצעות "מנחיתים"(Droppers), שמפעילי הקמפיין היסוו כתוכנה להתקנת תוכנות פרוצות. ה-"מנחיתים" האלה אורזים בתוכם את Raccoon Stealer ביחד עם כלי תקיפה נוספים, כולל תוספים זדוניים לדפדפן, בוטים להונאות מזויפות ביוטיוב ואת Djvu/Stop – כופרה המכוונת בעיקר נגד משתמשים ביתיים. בנוסף, מפעילי התוכנה הזדונית משתמשים זו הפעם הראשונה בתוכנות מעין זו בצ'טים בטלגרם לצורך תקשורת פיקוד ושליטה.

"גונבי מידע מהווים נישה חשובה בעולם פשיעת הסייבר. הם מציעים לעבריינים החזר מהיר על ההשקעה ומהווים עבורם נקודת כניסה זולה וקלה לביצוע התקפות גדולות", אמר גלגר. "עברייני סייבר מוכרים לעתים קרובות את הרשאות הגישה שאספו בדארקנט. בכך הם מאפשרים לתוקפים אחרים, כולל מפעילי כופרות או Initial Access Brokers לנצל את ההרשאות לצורך הכוונות הזדוניות שלהם – לדוגמה, פריצה לרשת ארגונית דרך שירות צ'ט של סביבת העבודה".

לסיכום הוא ציין כי "תוקפים עלולים גם להשתמש בהרשאות לצורך ביצוע התקפות ממוקדות על משתמשים אחרים באותה הפלטפורמה. יש ביקוש קבוע להרשאות גישה גנובות – במיוחד להרשאות המספקות גישה לשירותים לגיטימיים שהתוקפים יכולים להשתמש בהם כדי לארח או להפיץ קוד זדוני. גונבי מידע עלולים להיראות כאיומים ברמה נמוכה יותר – אבל הם לא".

סופוס ממליצה לארגונים שמשתמשים בשירותים אונליין לצורך צ'טים ושיתופי פעולה לבצע אימות רב שלבי (MFA) כדי להגן על חשבונות העובדים. "הדבר מבטיח שכל העובדים מחזיקים הגנה מעודכנת נגד קוד זדוני בכל מחשב שבו הם משתמשים כדי לגשת לשירותים הקשורים לעבודה", אומרים בחברה.