Анализируем Raccoon Stealer: разработчики, отзывы, цены

Raccoon Stealer входит в десятку наиболее часто упоминаемых вредоносных программ в теневой экономике 2019 года и широко известен тем, что заразил сотни тысяч устройств по всему миру, несмотря на то, что он не является слишком сложным или инновационным. Эта реализация вредоносного ПО впервые появилась в 2019 году и менее чем за год успела завоевать широкую известность среди киберпреступников. Его популярность, даже с ограниченным набором функциональности, свидетельствует о продолжении растущей тенденции коммерциализации вредоносных программ, по мере того, как злоумышленники все чаще следуют модели MaaS (Malware-as-a-Service), развивая свои проекты.

Начиная с апреля 2019 года команда компании Cybereason Nocturnus исследовала многочисленные случаи заражения вредоносным программным обеспечением Raccoon среди организаций и частных лиц. В своем анализе команда по кибербезопасности сосредоточила свое внимание на двух ключевых аспектах:

• Взгляд изнутри: исследование происхождения стилера Raccoon, разрабатывающей его членов команды, бизнес-модели и маркетинговых усилия по продвижению этого вредоносного ПО, а также отношение к Raccoon в подпольном сообществе киберпреступников, включая существующие распри между командой Raccoon и их прямыми конкурентами.
• Техническая составляющая: исчерпывающий технический обзор текущих возможностей и методов доставки стилера Raccoon с учетом будущих планов злоумышленников по отношению к своему вредоносному ПО.

Рисунок 1. Топ-10 самых упоминаемых вредоносных программ за январь-июль 2019 года по данным компании Recorded Future.

Ключевые особенности Raccoon Stealer

Команда Cybereason Nocturnus с апреля 2019 года расследовала многочисленные инциденты, связанные со стилером Raccoon, и теперь может провести тщательный анализ технических аспектов вредоносного ПО, а также более пристально взглянуть на вероятную российскую команду, стоящую за ним:

• Крадет широкий спектр данных

Стилеру Raccoon не хватает изощренности, но он использует несколько возможных методов доставки и может украсть большой объем важных данных, включая информацию о кредитных картах, криптовалютные кошельки, данные браузера и учетные данные электронной почты.

• Быстро набирает обороты

Несмотря на то, что стилер Raccoon был выпущен в начале 2019 года, его популярность в киберпреступном сообществе стремительно растет, и к концу 2019 году он входил в десятку самых популярных вредоносных программ на подпольном рынке, заражая сотни тысяч конечных точек по всему миру и частных лиц в Северной Америке, Европе и Азии.

• Позволяет любому человеку с легкостью совершать киберпреступления

С коммерческой точки зрения стилер Raccoon ориентирован на модель «вредоносное ПО как услуга», позволяя людям даже с минимальными техническими навыками быстро и легко зарабатывать деньги на краже конфиденциальных данных без огромных личных вложений или использования технических ноу-хау.

• Имеет множество поклонников среди подпольного сообщества киберпреступников

Команда, стоящая за стилером Raccoon, высоко ценится среди киберпреступного сообщества за высокий уровень обслуживания, поддержки и взаимодействия с пользователями, но столкнулась с некоторыми проблемами в виде конкурентной вражды и внутренних распрей.

Что такое стилер Raccoon?

Raccoon, также известный как «Mohazo» или «Racealer», по своей сути является простым средством для кражи информации, которое часто встречается в таких пакетах эксплойтов, как, например, Fallout или RIG. Он используется для кражи различных данных, таких как информация о кредитных картах, кошельки с криптовалютой, данные, связанные с браузерами, а также почтовыми клиентами. Хотя Raccoon и не является продвинутым вредоносным ПО, но, по оценкам аналитиков, оно заразило сотни тысяч устройств по всему миру и входит в десятку лучших по рейтингу упоминания в подпольных сообществах киберпреступников в 2019 году.

Стилер Raccoon написан на языке программирования C++ и работает как в 32-битных, так и в 64-битных операционных системах. Хотя изначально многими антивирусными компаниями он был классифицирован как средство для кражи паролей, но впоследствии сообщество по кибербезопасности убедилось, что Raccoon использует более широкие возможности, и отнесли его к категории кражи информации.

Вредоносная программа Raccoon ищет в системных файлах ряд конфиденциальных данных, которые он сохраняет и отправляет своему оператору. Он может собирать следующие данные:

• данные кредитных карт;
• кошельки с криптовалютой;
• пароли;
• письма электронной почты;
• данные из всех популярных браузеров, включая информацию о кредитных картах, URL-адреса, имена пользователей, пароли;
• cookies;
• системную информацию.

Обзор источника угрозы

Raccoon Stealer разработан русскоязычной командой из России. С апреля 2019 года данное вредоносное ПО агрессивно продвигается в среде киберпреступников. Команда разработчиков изначально продвигала стилер исключительно на русскоязычных хакерских форумах, но немного позже стала проявлять активность и в англоязычных сообществах.

Рисунок 2. Raccoon Stealer продвигается на одном из российских подпольных киберфорумов пользователем с ником «raccoonstealer».

Нелегальные коммерческие продажи стилера Raccoon налажены по модели «вредоносное программное обеспечение как услуга» с такими функциональными «конкурентными» преимуществами, как простая в использовании автоматизированная бэкэнд-панель, надежный хостинг и круглосуточная поддержка клиентов на русском и английском языках. По состоянии на конец 2019 года купить Raccoon Stealer можно было за 200 долларов в месяц.

Рисунок 3. Где купить Raccoon Stealer - контактные данные команды разработчиков

Похоже, что стилер Raccoon, как и любое другое SaaS-решение (Software as a Service, программное обеспечение как услуга) на легальном рынке, чью модель распространения злоумышленники старательно копируют, находится в активной стадии разработки. Команда разработчиков производит впечатление быстрой, отзывчивой и целеустремленной. В частности, киберзлоумышленниками используются короткие циклы разработки для выпуска обновлений, исправлений ошибок и добавления новой функциональности, периодичность которых составляет всего несколько дней. Они также очень активны в подпольных сообществах под ником «raccoonstealer». Они ежедневно публикуют сообщения, а также в течение нескольких часов отвечают на вопросы и комментарии сообщества на подпольных форумах и в Telegram.

Кто стоит за Raccoon Stealer?

Хотя личность команды, стоящей за вредоносным программным обеспечением Raccoon, все еще остается неизвестной, но некоторые члены подпольного сообщества приписывают авторство проекта одному из хорошо известных в узких кругах участнику своей «тусовки» — пользователю с ником «glad0ff». Так, пользователь «Alexuiop1337», автор другого стилера Predator the Thief (по всей видимости, Raccoon является ему прямым конкурентом), стал одним из самых ярых критиков и изобличителем команды стилера Raccoon. Так, он одним из первых указал на пользователя «glad0ff». Конечно, к обвинениям, исходящим от прямым конкурентов, следует относится осторожно, однако зацепки, представленные в блоге пользователя «Alexuiop1337», заслуживают внимания и потенциально могут связать пользователя «glad0ff» с вредоносным программным обеспечением Raccoon.

Анализ взломанной панели стилера Raccoon и слитой клиентской базы указывает на то, что администратором Raccoon является пользователь с онлайн-именем «glad0ff». Кроме того, пользователь «glad0ff» был создан в базе данных стилера Raccoon в феврале 2019 года, примерно за два месяца до того, как команда его разработчиков начала агрессивный маркетинг своего вредоносного ПО в подпольном киберсообществе.

Рисунок 4. Дата создания пользователя «glad0ff» в базе данных стилера Raccoon.

Рисунок 5. Одно из первых упоминаний стилера Raccoon на подпольных форумах

Кто такой «glad0ff»?

Пользователь «glad0ff» — киберзлоумышленник со стажем, ответственный за разработку таких вредоносных программ, как криптомайнеров Decrux и Acrux, а также загрузчиков вредоносного программного обеспечния Mimosa RAT и ProtonBot. Заслуживает внимания и то, что пользователь «glad0ff» ориентируется на обслуживание менее искушенных киберпреступников, которые ищут простые в использовании комплексные решения. Как и клиенты Raccoon Stealer, клиенты многих из предыдущих проектов «glad0ff» хвалят качество обслуживания, преданность делу и оперативность при устранении проблем. Изначально считалось, что пользователь «glad0ff» работает в одиночку, однако есть признаки того, что создатель стилера Raccoon привлекал к своему проекту и других участников. Этот момент мы обсудим чуть позже.

Также стоит отметить, что пользователь «glad0ff» прекратил публиковать сообщения на многих подпольных форумах в апреле 2019 года, что совпадает с запуском стилера Raccoon.

Рисунок 6. Дата последнего появления пользователя «glad0ff» на подпольных форумах.

Связан ли Raccoon Stealer с вредоносным ПО от других киберпреступников?

Другие члены подпольного киберсообщества задались вопросом, связан ли Raccoon с другими стилерами, такими как Vidar или Baldr, поскольку они заметили большое сходство между вышеупомянутым вредоносным программным обеспечением. Однако члены команды Raccoon постоянно отрицают какие-либо связи с другими киберзлоумышленниками.

Рисунок 7. Скриншот с одного из подпольных форумов, где команда Raccoon отрицает свою связь с авторами стилера Vidar.

Отношение к стилеру Raccoon среди подпольного киберсообщества

Интересно отметить тот факт, что многие люди, использующие стороннее вредоносное ПО, оставляют свои отзывы о стилере Raccoon. По мере того, как авторы вредоносного программного обеспечения обращаются для продвижения своих продуктов к модели MaaS (Malware-as-a-Service, вредоносное ПО как услуга), они во многом копируют наработанные успешные практики законного бизнеса SaaS (Software as a Service, программное обеспечение как услуга): маркетинговые усилия, положительные отзывы, оперативная поддержка клиентов и регулярное улучшение функциональности в своих продуктах.

Отзывы о Raccoon Stealer

В целом, отзывы о стилере Raccoon в подпольном киберсообществе положительные. Многие хвалят и выделяют функциональные возможности вредоносного ПО, а также сервис, который предоставляет команда киберпреступников. Некоторые голоса в подпольном киберсообществе даже высказываются о нем, как о достойной замене знаменитому стилеру Azorult. Однако, стоит отметить, что есть и другие мнения. Опытные участники подпольного киберсообщества отмечают, что вредоносная программа Raccoon слишком проста и лишена, по их мнению, «интересной функциональности» по сравнению с другими стилерами. При этом многие в подпольном киберсообществе отмечают, что, хотя данному вредоносному ПО и не хватает определенной функциональности и инновационности, это в значительной степени компенсируется впечатляющим уровнем работы с клиентами — у команды Raccoon, судя по отзывам, отлично налажено обслуживание и поддержка своих клиентов, а также качественно проработан пользовательский интерфейс.

Таким образом, высокая популярность стилера в сочетании с его весьма ограниченным набором функциональности, но весьма высоким уровнем распространения, говорит о растущей тенденции коммерциализации вредоносных программ. Все чаще авторы вредоносного ПО стараются создать платформы для преступлений, а не совершать преступления напрямую.

Собственно, чтобы вы полностью смогли себе представить отношение к стилеру Raccoon в подпольном киберсообществе, ниже мы хотим представить несколько наиболее показательных реальных отзывов киберпреступников, которые воспользовались сервисом, предоставляемым командой Raccoon. Так, один из первых последователей Raccoon Stealer утверждает, что использует его практически с момента первого запуска. После закрытия стилера Azorult в конце 2018 года он перепробовал почти все стилеры на рынке, прежде чем остановиться на Raccoon.

Рисунок 8. Пример отзыва №1: Один из первых адептов стилера Raccoon, который видит в нем «достойную замену» закрытому стилеру Azorult.

Другой злоумышленник воспользовался бесплатной пробной версией Raccoon и посчитал его отличным продуктом, на который он хотел бы перейти. Он специально ссылается на один случай, когда в поисковой системе панели возникла ошибка, которая на лету была немедленно исправлена.

Рисунок 9. Пример отзыва №2: Злоумышленник, который в восторге от сервиса, предоставляемого командой стилера Raccoon

Еще один киберпреступник, судя по его отзыву, переориентировался со стилера Azorult на Raccoon, и его впечатлила простота использования панели администратора. Кроме того, этот пользователь утверждает, что он имеет очень высокий уровень успеха, а также нахваливает качество обслуживания.

Рисунок 10. Пример отзыва №3: Еще один киберпреступник, который раньше пользовался стилером Azorult, а сейчас в восторге от сервиса, предоставляемого командой Raccoon Stealer

Критика стилера Raccoon со стороны подпольного киберсообщества

С самого первого дня некоторые члены подпольного киберсообщества рьяно критиковали стилер Raccoon, особенно акцентируя внимания на его слабые возможности, плохое кодирование и определенные проблемы с безопасностью в инфраструктуре и коде панели администратора.

Пожалуй, один из самых негативных отзывов исходит от пользователя «Alexuiop1337». В частности, он написал очень подробный блог, в котором анализирует и критикует вредоносное ПО Raccoon и его инфраструктуру. Так, пользователь «Alexuiop1337» утверждает, что у стилера есть уязвимости, которые позволяют выполнять DDoS-атаки на серверы разработчиков вредоносного ПО и сбрасывать конфиденциальные данные. В своем обзоре Alexuiop1337 также пытается раскрыть личность одного из разработчиков Raccoon, утверждая, что это пользователь «glad0ff», известный также как «wankfbi», который также является членом подпольного сообщества. Как уже было отмечено, к словам прямого конкурента стоит относится с определенной долей осторожности, но аналитики по кибербезопасности компании Cybereason Nocturnus считают, что приведенная информация заслуживает внимания.

Другие негативные отзывы заказчиков стилера Raccoon чаще всего связаны с жалобами на:

• Низкую вероятность заражения — в среднем около 45%.
• Некоторые ошибки, которые затрудняют доступ к логам и удаление логов из панели управления.
• Некоторую недостающую информацию или проблемы совместимости версий в модулях кражи.

Рисунок 11. Пример отзыва №4: Злоумышленник недоволен качеством работы стилера Raccoon.

Публичные споры и разногласия внутри команды Raccoon

Внутри подпольного сообщества команда Raccoon также сталкивается с некоторыми публичными спорами и противоречиями. Эти споры позволяют взглянуть на внутреннюю работу команды и дают более широкое представление о том, насколько конкурентоспособен рынок массового вредоносного ПО.

Кроме того, эти конфликты подтверждают гипотезу аналитиков по кибербезопасности о том, что стилер Raccoon управляется не одним пользователем, а командой. Это дает представление о типах отношений между членами команды, а также о том, насколько хрупкими и оппортунистическими могут быть эти связи.

Первые публичные признаки напряженности между членами команды Raccoon появились вскоре после их запуска в апреле 2019 года. После утечки их клиентской базы данных команда выпустила заявление, в котором утверждалось, что их серверы не были взломаны, а утечка была вызвана недовольным членом команды, который использовал базу данных как шантаж для получения дополнительных денег. Когда требования члена команды не были выполнены, он выложил базу данных в открытый доступ, чтобы отомстить команде Raccoon. Хотя команда прямо заявляет, что шантажист не работал напрямую со своими конкурентами, они все же обвинили пользователя «Alexuiop1337» в чрезмерном раздутии ситуации, чтобы извлечь из этого свою выгоду.

Рисунок 12. Пост одного из членов команды Raccoon, где раскрываются некоторые подробности внутреннего конфликта.

Кроме того, в июне 2019 года пользователь «raccoonstealer» (официальное онлайн-имя команды Raccoon) опубликовал необычный пост, в котором говорилось о внутреннем конфликте с бывшими членами команды. Якобы «Участник 777» (777@raccoon.biz) украл 900 долларов с общего баланса и покинул проект.

Рисунок 13. И еще один пост про внутренний конфликт, но уже с другим членом команды Raccoon.

Эти два зафиксированные инцидента показывают, что вредоносное программное обеспечение Raccoon разрабатывается несколькими людьми, которые работают вместе, но не обязательно являются сплоченной командой.

Часть 2.

Появились вопросы или нужна консультация? Обращайтесь!

Вечный параноик, Антон Кочуков.

Перехват и модификация TCP / IP трафика на лету с помощью Trudy

Диагностика сетей WiFi 6 (802.11ax): новые особенности, которые нужно знать

Анализ ошибок PAM-4: как правильно искать и идентифицировать ошибки в сетях 400G Ethernet