Ένα σχετικά νέο κακόβουλο λογισμικό με όνομα Racoon μπορεί να κλέψει δεδομένα από περίπου 60 εφαρμογές από έναν υπολογιστή.
Το Racoon παρατηρήθηκε για πρώτη φορά πριν ένα χρόνο και γρήγορα έγινε γνωστό λόγω της χαμηλής τιμής και των δυνατοτήτων του. Επίσης γνωστό ως Legion, Mohazo και Racealer, το λογισμικό προωθήθηκε αρχικά μόνο σε ρωσικά forums, αλλά σύντομα έγινε παγκοσμίως γνωστό. Το κακόβουλο λογισμικό παρουσιάστηκε για πρώτη φορά τον Απρίλιο του 2019, υπό το μοντέλο MaaS (Malware-as-Service) γιa 75$την εβδομάδα ή 200$ ανά μήνα. Για αυτά τα χρήματα, οι χρήστες του αποκτούν πρόσβαση σε έναν πίνακα διαχείρισης ο οποίος τους επιτρέπει να προσαρμόσουν το Racoon ανάλογα τις ανάγκες, να αποκτήσουν πρόσβαση στα κλεμμένα δεδομένα και να κατεβάσουν το λογισμικό αυτό.
Το μοντέλο MaaS υπάρχει ευρέως σήμερα, διότι “ανοίγει πόρτες” σε μεγάλο αριθμό πελατών, πολλοί από τους οποίους δεν έχουν τις τεχνικές γνώσεις.
Η CyberArk ανάφερε ότι το λογισμικό είναι γραμμένο σε C ++ και δεν είναι καθόλου πολύπλοκο. Ωστόσο, μπορεί να κλέψει πληροφορίες από σχεδόν 60 προγράμματα (φυλλομετρητές, portfolios, emails κ.α). Όλα τα δημοφιλή προγράμματα αναζήτησης (Google Chrome, Mozilla Firefox, Microsoft Edge, Internet Explorer, Opera, Vivaldi, Waterfox, SeaMonkey, UC Browser) βρίσκονται στον κατάλογο των στόχων. Ψάχνει επίσης τα portfolio για cryptocurrency όπως το Electrum, Ethereum, Exodus, Jaxx και Monero. Από τα ηλεκτρονικά ταχυδρομεία , το Racoon ψάχνει για δεδομένα από Thunderbird, Outlook, Foxmail, κ.α.
Οι ερευνητές του CyberArk λένε ότι το Racoon βασίζεται σε μια διαδικασία για να κλέψει τα δεδομένα: εντοπίζει και αντιγράφει το αρχείο με τις χρήσιμες πληροφορίες και δημιουργεί ένα .zip αρχείο έτοιμο για κλοπή. “Αφού εφαρμόσει τις δυνατότητες του, συγκεντρώνει όλα τα αρχεία που έγραψε σε ένα αρχείο Log.zip. Τώρα το μόνο που έχει να κάνει είναι να στείλει το αρχείο πίσω στο C & C server και να διαγράψει το ίχνος του” – CyberArk
Οι πρόσθετες δυνατότητες του Racoon, περιλαμβάνουν τη συλλογή λεπτομερειών του λειτουργικού συστήματος (έκδοση και αρχιτεκτονική του λειτουργικού συστήματος, γλώσσα, πληροφορίες υλικού,κ.α). Επίσης, μπορεί εύκολα να προσαρμοστεί για να τραβήξει φωτογραφίες από τις οθόνες των μολυσμένων συστημάτων. Επιπλέον, το κακόβουλο λογισμικό μπορεί να λειτουργήσει ως dropper για άλλα κακόβουλα αρχεία.
Όπως όλα τα κακόβουλα λογισμικά, το Racoon βελτιώνεται ενεργά με συχνά updates, νέες λειτουργίες και δυνατότητες. Αναλύοντας το, οι ερευνητές παρατήρησαν νέες εκδόσεις που κυκλοφόρησαν, οι οποίες επέκτειναν την υποστήριξη για εφαρμογές, προσθέτοντας FileZilla και UC Browser και προσθέτοντας την επιλογή κρυπτογράφησης του λογισμικού απευθείας από τον πίνακα διαχείρισης.
