Разработчик вредоносного ПО запустил свое творение в своей системе, чтобы опробовать новые функции, и данные попали на платформу разведки киберпреступлений, что позволило получить представление о деятельности киберпреступников.
Злоумышленник является разработчиком Raccoon, программы для кражи информации, которая может собирать данные из десятков приложений и набирает популярность в течение последних двух лет.
Во время тестирования варианта стилера разработчик Raccoon заразил свою собственную систему, и этот шаг немедленно инициировал передачу данных на сервер управления и контроля (C2), а затем на форумы, посвященные киберпреступности.
Зараженная тестовая система разработчика Raccoon была обнаружена с помощью платформы Hudson Rock Cavalier , базы данных разведки киберпреступлений, которая отслеживает взломанные машины.
Алон Гал , соучредитель и технический директор Hudson Rock, говорит, что у Raccoon infostealer есть более миллиона скомпрометированных систем, которые отслеживаются через Cavalier.
Исследователь сообщил BleepingComputer, что разработчик инфостиллера Raccoon заразил их машину в феврале, но остался незамеченным, поскольку не представлял интереса, поскольку не принадлежал клиентам компании.
Он привлек внимание своим IP-адресом 1.1.1.1, специально измененным на сервере управления, чтобы реальный не был захвачен, говорит Гэл. Как ни странно, IP-адрес используется преобразователем общедоступной системы доменных имен (DNS) Cloudflare.
Данные, собранные из самозараженной системы, показывают, что разработчик проверил способность вредоносного ПО извлекать пароли из Google Chrome, что является важным атрибутом любого кражи информации.
Дополнительная информация, полученная с тестового компьютера Raccoon, выявила имя и несколько адресов электронной почты, связанных с вредоносной программой.
К сожалению, подробностей недостаточно, чтобы определить личность разработчика Raccoon. Гэл говорит, что создатель вредоносного ПО «вероятно, специально заразил [машину]» и был достаточно осторожен, чтобы удалить детали, которые могли бы раскрыть, кто они, прежде чем запускать вредоносное ПО.
Например, адреса электронной почты, используемые для различных служб, содержат либо «raccoon», либо «raccoonstealer», что указывает на то, что они используются для общения с клиентами.
Исследователь также нашел имя Бенджамина Энгеля, хакера из Берлина и главного героя немецкого хакерского фильма 2014 года « Кто я ».
Другие детали, выбранные из тестовой системы, показали, что в тестовой коробке разработчика были файлы cookie, указывающие на вход на русскоязычный форум, популярный среди известных киберпреступных групп.
Гэл смогла сравнить идентификатор в файле cookie, созданном при входе на форум, с идентификатором, привязанным к учетной записи Raccoon stealer в сообществе.
Хотя информация, собранная таким образом, не содержит подсказок, необходимых для того, чтобы назвать разработчика Raccoon настоящим именем, она показывает, что киберпреступники также могут ошибаться, и все еще есть надежда застать их врасплох.
Последнее обновление 05.01.2023
