Raccoon

Pengembang malware menginfeksi PC sendiri dan data berakhir di platform intel

August 18, 2021 by Winnie the Pooh

Seorang pengembang malware melepaskan kreasi mereka di sistem mereka untuk mencoba fitur baru dan data tersebut berakhir di platform intelijen kejahatan dunia maya, memperlihatkan sekilas upaya kejahatan dunia maya.

Pelaku ancaman adalah pengembang Raccoon, pencuri informasi yang dapat mengumpulkan data dari lusinan aplikasi dan semakin populer selama dua tahun terakhir.

Saat menguji varian stealer, pengembang Raccoon menginfeksi sistem mereka sendiri, sebuah langkah yang segera memicu data mengalir ke server command and control (C2) dan selanjutnya, ke forum cybercrime.

Sistem pengujian yang terinfeksi oleh pengembang Raccoon ditemukan melalui platform Cavalier Hudson Rock, database intelijen kejahatan dunia maya yang memantau mesin yang disusupi.

Alon Gal, salah satu pendiri dan Chief Technology Officer Hudson Rock, mengatakan bahwa infostealer Raccoon memiliki lebih dari satu juta sistem yang disusupi yang dilacak melalui Cavalier.

Peneliti mengatakan kepada BleepingComputer bahwa pengembang infostealer Raccoon menginfeksi mesin mereka pada bulan Februari tetapi tidak diketahui karena tidak menarik karena itu bukan mesin milik klien perusahaan.

Data yang dikumpulkan dari sistem yang terinfeksi sendiri menunjukkan bahwa pengembang menguji kemampuan malware untuk mengekstrak kata sandi dari Google Chrome, atribut penting untuk pencuri informasi apa pun.

Informasi tambahan yang diambil dari komputer uji Raccoon mengungkapkan nama dan beberapa alamat email yang terkait dengan malware.

Sayangnya, detailnya tidak cukup untuk menentukan identitas pengembang Raccoon. Gal mengatakan bahwa pembuat malware “kemungkinan menginfeksi [mesin] dengan sengaja” dan cukup berhati-hati untuk menghapus detail yang dapat mengungkapkan siapa mereka sebelum meluncurkan malware.

Selengkapnya: Bleeping Computer

Raccoon stealer-as-a-service sekarang akan mencoba mengambil cryptocurrency Anda

August 5, 2021 by Winnie the Pooh

Raccoon Stealer telah ditingkatkan oleh pengembangnya untuk mencuri cryptocurrency bersama dengan informasi keuangan.

Pada hari Selasa, Sophos merilis penelitian baru tentang stealer-as-a-service, sebuah alat untuk digunakan oleh aktor ancaman sebagai alat tambahan untuk pencurian data dan pendapatan.

Dalam kampanye baru yang dilacak oleh tim, malware menyebar bukan melalui email spam — vektor serangan awal yang biasa ditautkan ke Raccoon Stealer — tetapi, sebaliknya, dropper yang menyamar sebagai penginstal untuk perangkat lunak yang diretas dan dibajak.

Raccoon Stealer dapat memantau dan mengumpulkan kredensial akun, cookie, teks “autofill” situs web, dan informasi keuangan yang mungkin disimpan di mesin yang terinfeksi.

Namun, stealer yang ditingkatkan juga memiliki “clipper” untuk pencurian berbasis cryptocurrency. Dompet, dan kredensialnya, khususnya, ditargetkan oleh alat QuilClipper, serta data transaksi berbasis Steam.

Pencuri beroperasi melalui server command-and-control (C2) berbasis Tor untuk menangani eksfiltrasi data dan manajemen korban. Setiap eksekusi Raccoon diikat dengan tanda tangan khusus untuk setiap klien.

Raccoon ditawarkan sebagai stealer-as-a-service, dengan pengembang di belakang malware menawarkan kreasi mereka kepada penjahat dunia maya lainnya dengan biaya tertentu. Sebagai imbalannya, malware sering diperbarui.

Pengembang memperoleh sekitar $1200 dalam biaya berlangganan, bersama dengan potongan dari hasil pengguna mereka.

Selengkapnya: ZDNet

Grup Skimmer Kartu Pembayaran Menggunakan Raccoon Info-Stealer untuk Menyedot Data

December 8, 2020 by Winnie the Pooh

Sebuah grup kejahatan siber yang dikenal karena menargetkan situs web e-commerce melepaskan “kampanye jahat multi-tahap” awal tahun ini yang dirancang dengan maksud untuk mendistribusikan info-stealer dan skimmer pembayaran berbasis JavaScript.

Dalam laporan baru yang diterbitkan, perusahaan keamanan siber yang berbasis di Singapura Group-IB mengaitkan operasi tersebut dengan grup yang sama yang telah dikaitkan dengan serangan lain yang ditujukan untuk pedagang online dan menggunakan malware pencuri kata sandi untuk menginfeksi situs web mereka dengan FakeSecurity JavaScript-sniffers (JS-sniffers).

Kampanye ini berkembang dalam empat gelombang, dimulai pada Februari dan berakhir pada September, dengan operator mengandalkan halaman phishing yang dibuat khusus dan dokumen iming-iming yang dilengkapi dengan makro berbahaya untuk mengunduh pencuri informasi Vidar dan Raccoon ke sistem korban.

Tujuan akhir dari serangan itu, catat para peneliti, adalah untuk mencuri pembayaran dan data pengguna melalui beberapa vektor serangan dan alat untuk mengirimkan malware.

Sementara gelombang pertama kampanye pada bulan Februari dan Maret mengirimkan pencuri kata sandi Vidar untuk mencegat kata sandi dari browser pengguna dan berbagai aplikasi, iterasi berikutnya dialihkan ke Raccoon stealer dan AveMaria RAT untuk memenuhi tujuannya.

Bersama dengan empat tahap yang dijelaskan di atas, Group-IB juga mengamati fase sementara antara Mei hingga September 2020, saat sebanyak 20 toko online terinfeksi dengan JS-sniffer yang dimodifikasi dari keluarga FakeSecurity.

Sumber: The Hacker News

Malware Raccoon menargetkan sejumlah besar browser untuk mencuri data dan cryptocurrency korbannya

February 27, 2020 by Winnie the Pooh

Raccoon mungkin bukan pilihan termurah di pasaran tetapi malware ini telah mendapatkan popularitas di kalangan penjahat siber karena kemampuannya menargetkan setidaknya 60 aplikasi dan banyak di antaranya adalah browser yang kita gunakan saat ini, termasuk Mozilla dan Chrome.

Infostealer Raccoon, juga dikenal sebagai Racealer, ditawarkan dengan harga $ 200 sebulan dan pertama kali ditemukan oleh para peneliti dari perusahaan cybersecurity Cybereason pada tahun 2019. Raccoon dapat mencuri informasi keuangan, kredensial online, data PC – seperti jenis dan versi sistem operasi, bahasa yang digunakan, dan daftar aplikasi yang terinstal – dompet cryptocurrency, dan informasi browser termasuk cookie, log riwayat, dan konten pengisian otomatis. Setelah Raccoon mencuri data yang diperlukannya, informasi ini dikompilasi ke dalam file arsip .zip dan dikirim ke server command and control (C2). Malware ini juga dapat bertindak sebagai dropper untuk muatan malware tambahan.

Raccoon terus didukung oleh tim dan pengembangannya sedang berlangsung. Baru-baru ini, Raccoon juga diberi kemampuan untuk mencuri kredensial server FTP dari FileZilla, kesalahan UI sudah diselesaikan, dan penulis juga membuat opsi untuk mengenkripsi pembuatan malware kustom dari UI untuk diunduh sebagai DLL.

Untuk berita selengkapnya dapat dibaca pada tautan dibawah ini;

Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Raccoon

Cookies Settings