מחקר: קמפיין התקיפה "הראקון המשתולל" משתמש גם בטלגרם כדי לתקוף משתמשים
מאת:
מערכת Telecom News, 23.8.21, 16:34
הכלי לגניבת מטבעות קריפטו מועבר לקורבנות כשהוא ארוז בכופרה ותוכן זדוני נוסף. מה מומלץ לארגונים לעשות?
סופוס, שעוסקת באבטחת סייבר של הדור הבא, פרסמה מחקר בשם "
Trash Panda as a Service: Raccoon Stealer Steals Cookies, Cryptocoins and More". הדו"ח מציג כיצד תוכנת הגניבה
Raccoon Stealer מסתווה לתוכנה פיראטית כדי לבצע חטיפה של מטבעות קריפטוגרפיים ומידע, בעודה מזריקה למערכת הפגועה תוכן זדוני, כגון תוכנה לכריית מטבעות קריפטוגרפיים.
Raccoon Stealer מופץ בד"כ דרך דואר זבל. עם זאת, בקמפיין, שנחקר ע"י החברה, הוא מופץ באמצעות "מנחיתים" (
droppers), שמפעילי הקמפיין הסוו כתוכנה להתקנת תוכנות פרוצות. המנחיתים האלה אורזים בתוכם את
Raccoon Stealer ביחד עם כלי תקיפה נוספים, כולל תוספים זדוניים לדפדפן, בוטים להונאות מזויפות ביוטיוב, ואת
Djvu/Stop - תוכנת כופר המכוונת בעיקר כנגד משתמשים ביתיים. בנוסף,
מפעילי Racoon Stealer משתמשים זו הפעם הראשונה גם בצ'טים בטלגרם לצורך תקשורת פיקוד ושליטה.
שון גלגר, חוקר אבטחה בכיר, סופוס: "בימים, שבהם חלק גדול מהחיים הפרטיים והמקצועיים מסתמכים על שירותים המסופקים דרך הדפדפן, כנופיות פשע, שמפעילות קוד זדוני לגניבת מידע, מגבירות את התקיפות על הרשאות לשירותי רשת, שמספקות להם גישה למידע משמעותי בהרבה בהשוואה לגניבת סיסמאות.
הקמפיין, שעקבנו אחריו, מראה כיצד
Raccoon Stealer אוסף אליו סיסמאות, קוקיז, וטקסט המתמלא באופן אוטומטי באתרים, כולל נתוני כרטיסי אשראי ומידע אישי אחר שלעיתים מאוחסן בדפדפן. הודות לעדכון
clipper האחרון,
Raccoon Stealer כעת תוקף גם ארנקים דיגיטליים, והוא יכול למשוך או לטעון קבצים - לדוגמא, קוד זדוני נוסף - במערכות הפגועות. אלו הן דרכים ,שהעבריינים יכולים להרוויח מהם, וכל זאת באמצעות שירות תקיפה העומד 'להשכרה' במחיר של 75 דולרים לשבוע.
גונבי מידע מהווים נישה חשובה בעולם פשיעת הסייבר. הם מציעים לעבריינים החזר מהיר על ההשקעה ומהווים עבורם נקודת כניסה זולה וקלה לביצוע התקפות גדולות. עברייני סייבר מוכרים לעיתים קרובות את הרשאות הגישה, שאספו ברשת האפלה. בכך, הם מאפשרים לתוקפים אחרים, כולל מפעילי תוכנות כופר או
Initial Access Brokers, לנצל את ההרשאות לצורך הכוונות הזדוניות שלהם - לדוגמא, פריצה לרשת ארגונית דרך שירות צ'ט של סביבת העבודה.
תוקפים יכולים גם להשתמש בהרשאות לצורך ביצוע התקפות ממוקדות על משתמשים אחרים באותה הפלטפורמה. יש ביקוש קבוע להרשאות גישה גנובות - במיוחד להרשאות המספקות גישה לשירותים לגיטימיים, שהתוקפים יכולים להשתמש בהם כדי לארח או להפיץ קוד זדוני. גונבי מידע עלולים להיראות כאיומים ברמה נמוכה יותר, אבל הם לא".
החברה ממליצה לארגונים, שמשתמשים בשירותים מקוונים לצורך צ'ט ושיתוף פעולה, לעשות שימוש באימות רב שלבי (
MFA) כדי להגן על חשבונות העובדים. הדבר מבטיח, שכל העובדים מחזיקים הגנה מעודכנת כנגד קוד זדוני בכל מחשב בו הם משתמשים כדי לגשת לשירותים הקשורים לעבודה.