Prag, Tschechische Republik, 10. März 2022 – Avast (LSE:AVST), ein weltweit führender Anbieter von digitaler Sicherheit und Privatsphäre, hat eine Analyse zur Malware „Raccoon Stealer“ veröffentlicht. „Raccoon Stealer“ wurde entwickelt, um Anmeldedaten von E-Mail-Clients und Messengern sowie Dateien von Kryptowährungen zu stehlen und Downloader-Malware zu installieren, die weitere Malware oder die Ransomware „WhiteBackCrypt“ installieren kann. Der Stealer nutzt hierfür die Infrastruktur von Telegram, um Command-and-Control (C&C)-Adressen zu speichern und zu aktualisieren, von denen er Befehle erhält.
Die Auswirkungen von „Raccoon Stealer“
Avast-Forscher haben herausgefunden, dass „Raccoon Stealer“ von Downloadern namens „Buer Loader“ verbreitet wird. Zusätzlich wird die Malware auch zusammen mit gefälschten Spiele-Cheats, Patches für geknackte Software (einschließlich Hacks und Mods für Fortnite, Valorant und NBA 2K22) oder anderer Software verbreitet.
„Raccoon Stealer“ ist in der Lage folgende Daten und Dateien zu stehlen:
Cookies, gespeicherte Logins und Formulardaten von Browsern
Anmeldedaten von E-Mail-Clients und Messengern
Dateien aus Krypto-Wallets
Daten von Browser-Plugins und Erweiterungen
Beliebige Dateien basierend auf Befehlen von C&C
"Cyberkriminelle kaufen oft Installationen. Sie bezahlen dafür, dass die Malware ihrer Wahl durch andere Malware, die bereits auf den Geräten installiert ist, eben auf diese Geräte geladen wird. Den gleichen Service können sie dann für andere Geräte anbieten und wir denken, dass dies bei ‚Raccoon Stealer‘ der Fall sein könnte“, erklärt Vladimir Martyanov, Malware-Forscher bei Avast. "Das Interessante an ‚Raccoon Stealer‘ ist, dass er die Telegram-Infrastruktur nutzt, um C&C-Adressen zu speichern und zu aktualisieren. Wir gehen davon aus, dass Cyberkriminelle Telegram nicht nur nutzen, weil es bequem ist, sondern weil es unwahrscheinlich ist, dass die Kanäle abgeschaltet werden."
Avast schützt fast 600.000 Benutzer*innen weltweit
Die meisten Angriffsversuche blockierte Avast in Brasilien, Russland und Argentinien. Die Akteure hinter „Raccoon Stealer“ versuchen, die Infektion von Geräten in Russland und Zentralasien zu vermeiden, indem sie die auf dem Gerät verwendete Sprache überprüfen. Wenn das Gerät auf Russisch oder eine zentralasiatische Sprache eingestellt ist, stoppt der Stealer und führt keine bösartigen Aktivitäten aus. Die Angreifer setzen jedoch auf die "Spray and Pray"-Methode, um die Malware auch hier zu verbreiten. Das bedeutet, dass Nutzer*innen in Russland oder Zentralasien trotzdem auf die Malware stoßen können. Ist ihr Gerät standardmäßig auf Englisch eingestellt ist, kann es infiziert werden.
Vom 3. März 2021 bis zum 17. Februar 2022 hat Avast fast 600.000 Nutzer vor „Raccoon Stealer“-Angriffen geschützt. In Russland schützte Avast im gleichen Zeitraum mehr als 40.000 Nutzer*innen vor der Bedrohung.
Die vollständige Analyse von „Raccoon Stealer“ ist im Avast Decoded Blog zu finden.