به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان شرکت امنیتی «CyberArk» با انتشار گزارشی اعلام کردند بدافزار راکون (Raccoon) موج جدیدی از حملات خود را علیه مرورگرها، ایمیل کلاینتها و کیف پولهای ارز دیجیتال آغاز کرده است.
به گفته کارشناسان این شرکت، اپراتورهای راکون قابلیت جدیدی به آن اضافه کردهاند که امکان سرقت اطلاعات نرمافزار کلاینت Filezilla FTP را میدهد.
این بدافزار که به Legion ،Mohazo و Racealer نیز شناخته میشود به زبان ++C نوشتهشده و میتواند اطلاعات 35 مرورگر و 60 اپلیکیشن را سرقت کند. راکون قادر است اطلاعات مالی و حسابهای کاربری، اطلاعات کیف پول و اطلاعات مرورگرها را منجمله فایلهای کوکی، تاریخچه و Autofill را سرقت نماید.
مرورگرهایی که راکون اطلاعات آنها را سرقت میکند عبارتاند از: Chrome، Chromium، Xpom، Comodo Dragon، Amigo، Orbitum، Bromium، Nichrome، RockMelt، 360Browser، Vivaldi، Opera، Sputnik، Kometa، Uran، QIP Surf، Epic Privacy، CocCoc، CentBrowser، 7Star، Elements، TorBro، Suhba، Suhba، Safer Browser، Mustang، Superbird، Chedot، Torch، Internet Explorer، Microsoft Edge، Firefox، WaterFox، SeaMonkey، PaleMoon.
این بدافزار همچنین قادر است ایمیل کلاینتهای ThunderBird ،Outlook ،Foxmail را هک کرده و به کیف پولهای Electrum ،Ethereum ،Exodus ،Jaxx ،Monero و Bither نفوذ کند و در سیستمهای آلوده، فایل wallet.dat را شناسایی و اطلاعات حسابهای کاربری را سرقت کند.
طبق گفته کارشناسان شرکت امنیت سایبری «Cybereason Nocturnus»، راکون از ماه آوریل سال 2019 ظهور کرده و از آن زمان تاکنون در فروشگاههای خدمات بدافزاری توزیعشده است. طی ماههای اخیر تقاضا برای این بدافزار افزایش چشمگیری داشته و تاکنون صدها هزار سیستم در آمریکای شمالی، اروپا و آسیا با این بدافزار آلودهشدهاند.
سازندگان این بدافزار، از مدل تجاری ارائه خدمات بدافزاری بهعنوان سرویس (Malware-as-a-Service) پیروی کردهاند.
راکون کنترل پنل ساده، هاستینگ نفوذناپذیر داشته و از مشتریان به زبانهای روسی و انگلیسی پشتیبانی شبانهروزی میکند. راکون با استفاده از اکسپلویتهای کیت، ایمیلهای فیشینگ یا به کمک بدافزارهای دیگری که به سیستمهای قربانی نفوذ کردهاند، سیستم را آلوده میسازد. تاکنون نیز از طریق مجموعهای از اکسپلویتهای Fallout توزیعشده است.
چنانچه سیستم قربانی از زبانهای اوکراینی، بلاروسی، قزاقی، قرقیزی، ارمنی، تاجیک یا ازبک و روسی استفاده کند، راکون تنظیمات سیستم را بررسی و بلافاصله آن را از کار میاندازد. به اعتقاد کارشناسان، اینیک روش متداول برای بدافزارهای توسعه دادهشده در کشورهای مستقل همسود است.
کلیه دادههایی که توسط بدافزار سرقت میشوند در پوشههای Temp ذخیره گشته و سپس در فایل زیپ جمعآوری میشوند و به سرور کنترل مهاجمان ارسال میگردند. راکون اسکرین شات گرفته و اطلاعات سیستم منجمله نام کاربری، آدرس IP، تنظیمات زبان، نسخه سیستمعامل، اطلاعات مربوط به برنامههای نصبشده و همچنین اطلاعات مربوط به پردازنده و حافظه، کوکیها، اطلاعات کیف پول ارزهای دیجیتال را سرقت میکند.
هنوز دقیقاً سازنده این بدافزار مشخص نیست؛ اما به نظر میرسد گروه gladOff طراح آن باشد که سالهاست راهکارهای کاربربهکاربر ارائه داده و بدافزارهای زیادی منجمله Decrux ،Acrux ،Mimosa RAT و ProtonBot توسعه داده است.
