Suicide
19.08.2021, 02:22
Разработчик инфостилера Raccoon (https://xakep.ru/2020/02/27/raccoon-apps/), способного похищать данные из десятков приложений, запустил свое творение на собственной машине, чтобы проверить новые функции. В итоге его данные стали доступны ИБ-специалистам, и те смогли получить лучше узнать о деятельности преступника.
Когда разработчик малвари заразил собственную систему, его данные были переданы на управляющий сервер Raccoon. Заражение тестовой системы разработчика Raccoon было обнаружена с помощью платформы Hudson Rock Cavalier, которая отслеживает взломанные машины.
Представители Hudson Rock рассказали журналистам Bleeping Computer (https://www.bleepingcomputer.com/news/security/malware-dev-infects-own-pc-and-data-ends-up-on-intel-platform/), что на счету Raccoon более миллиона скомпрометированных систем, которые специалисты отслеживаются через Cavalier. Собственную машину разработчик заразил еще в феврале, и сначала этот инцидент остался незамеченным, та как заражение не представляло интереса, а взломанная система не принадлежала клиентам компании.
Внимание исследователей в итоге привлек IP-адрес 1.1.1.1, специально измененный на управляющем сервере, чтобы не «засветить» реальный адрес. Данный IP-адрес обычно используется Cloudflare.
https://xakep.ru/wp-content/uploads/2021/08/356586/RaccoonLeak01.png (https://xakep.ru/wp-content/uploads/2021/08/356586/RaccoonLeak01.png)
Данные, собранные в зараженной системе, показывают, что разработчик проверял способность Raccoon извлекать пароли из Google Chrome. Дополнительная информация, полученная с тестового компьютера, включала имя и несколько адресов электронной почты, связанных с малварью (например, адреса содержат строки «raccoon» или «raccoonstealer», то есть, скорее всего, используются для общения с клиентами).
https://xakep.ru/wp-content/uploads/2021/08/356586/RaccoonLeak02.png (https://xakep.ru/wp-content/uploads/2021/08/356586/RaccoonLeak02.png)
Исследователи говорят, что этих данных, к сожалению, не хватит, чтобы определить личность разработчика Raccoon, так как хакер был достаточно осторожен и перед запуском малвари удалил любые детали, которые могли бы раскрыть его личность. К примеру, среди данных эксперты обнаружили имя Бенджамина Энгеля, главного героя немецкого хакерского фильма 2014 года «Кто я (https://www.kinopoisk.ru/film/779602/)».
Также в тестовой системе разработчика были файлы cookie, указывающие, что он заходил на русскоязычный форум, популярный среди хакеров. Эксперты сравнили идентификатор в файле cookie, созданном при входе на форум, с идентификатором, привязанным к учетной записи Raccoon stealer на этом ресурсе.
https://xakep.ru/wp-content/uploads/2021/08/356586/RaccoonLeak03.png (https://xakep.ru/wp-content/uploads/2021/08/356586/RaccoonLeak03.png)
18.08.2021
https://xakep.ru/2021/08/17/raccoon-leak/
Когда разработчик малвари заразил собственную систему, его данные были переданы на управляющий сервер Raccoon. Заражение тестовой системы разработчика Raccoon было обнаружена с помощью платформы Hudson Rock Cavalier, которая отслеживает взломанные машины.
Представители Hudson Rock рассказали журналистам Bleeping Computer (https://www.bleepingcomputer.com/news/security/malware-dev-infects-own-pc-and-data-ends-up-on-intel-platform/), что на счету Raccoon более миллиона скомпрометированных систем, которые специалисты отслеживаются через Cavalier. Собственную машину разработчик заразил еще в феврале, и сначала этот инцидент остался незамеченным, та как заражение не представляло интереса, а взломанная система не принадлежала клиентам компании.
Внимание исследователей в итоге привлек IP-адрес 1.1.1.1, специально измененный на управляющем сервере, чтобы не «засветить» реальный адрес. Данный IP-адрес обычно используется Cloudflare.
https://xakep.ru/wp-content/uploads/2021/08/356586/RaccoonLeak01.png (https://xakep.ru/wp-content/uploads/2021/08/356586/RaccoonLeak01.png)
Данные, собранные в зараженной системе, показывают, что разработчик проверял способность Raccoon извлекать пароли из Google Chrome. Дополнительная информация, полученная с тестового компьютера, включала имя и несколько адресов электронной почты, связанных с малварью (например, адреса содержат строки «raccoon» или «raccoonstealer», то есть, скорее всего, используются для общения с клиентами).
https://xakep.ru/wp-content/uploads/2021/08/356586/RaccoonLeak02.png (https://xakep.ru/wp-content/uploads/2021/08/356586/RaccoonLeak02.png)
Исследователи говорят, что этих данных, к сожалению, не хватит, чтобы определить личность разработчика Raccoon, так как хакер был достаточно осторожен и перед запуском малвари удалил любые детали, которые могли бы раскрыть его личность. К примеру, среди данных эксперты обнаружили имя Бенджамина Энгеля, главного героя немецкого хакерского фильма 2014 года «Кто я (https://www.kinopoisk.ru/film/779602/)».
Также в тестовой системе разработчика были файлы cookie, указывающие, что он заходил на русскоязычный форум, популярный среди хакеров. Эксперты сравнили идентификатор в файле cookie, созданном при входе на форум, с идентификатором, привязанным к учетной записи Raccoon stealer на этом ресурсе.
https://xakep.ru/wp-content/uploads/2021/08/356586/RaccoonLeak03.png (https://xakep.ru/wp-content/uploads/2021/08/356586/RaccoonLeak03.png)
18.08.2021
https://xakep.ru/2021/08/17/raccoon-leak/