“Mivel manapság a mindennapi és a professzionális élet nagy része a böngészőn keresztül nyújtott szolgáltatásoktól függ, az információtolvaj vírus mögött álló üzemeltetők egyre inkább az elmentett webes hozzáférési adatokra hajtanak, amelyek szélesebb körű hozzáférést biztosítanak, mintha csak tárolt jelszó-hasheket lopnának” - mondta Sean Gallagher, a Sophos senior fenyegetéskutatója.

“Az általunk követett kampány megmutatta, hogy a Raccoon Stealer jelszavakat, sütiket és a weboldalakon használt, elmentett, automatikusan kitöltésre kerülő szövegeket lop, beleértve a hitelkártya adatokat és más személyes azonosító információkat, melyeket a böngésző eltárolhat. Egy új “clipper” frissítésnek köszönhetően, amely megváltoztatja egy kriptovaluta tranzakció vágólapját vagy célinformációit, a Raccoon Stealer már kriptotárcákat is támad és képes fájlok megszerzésére, illetve betöltésére is a fertőzött rendszereken - például további vírus elhelyezésére. Ez rengeteg könnyen pénzzé tehető lehetőség a digitális bűnözők számára egy olyan szolgáltatástól, amelyet 75 dollárért lehet egy hétre “kibérelni”.

A Raccoon Stealert általában spam emaileken keresztül terjesztik. A Sophos által vizsgált kampány esetében azonban olyan droppereken keresztül juttatják célba, amelyet a működtetők tört szoftvertelepítőknek álcáznak. Ezek a dropperek a Raccoon Stealert további támadó eszközökkel csomagolják össze, melyek közé káros böngésző-kiegészítők, kattintásos-átveréses Youtube botok és az elsősorban otthoni felhasználókat célzó Djvu/Stop zsarolóvírus is tartozik. A Sophos kutatói szerint a Raccoon Stealer kampány mögött álló operátorok először használták a Telegram chat szolgáltatást a vezérléshez használt kommunikációra.

“Az információtolvaj eszközök fontos szerepet töltenek be a digitális bűnözés ökoszisztémájában. Gyors megtérülést kínálnak a befektetésért cserébe és egy könnyű, olcsó belépési pontot nyújtanak a nagyobb támadásokhoz” - nyilatkozta Gallagher. “A digitális bűnözők gyakran “fekete” piactereken adják el a lopott hitelesítő adatokat, lehetővé más támadóknak, beleértve zsarolóvírus üzemeltetőknek és Initial Access Brokereknek, hogy azokat a saját illegális szándékaik megvalósításához használják fel - például a munkahelyi chat szolgáltatáson keresztül betörhessenek a vállalati hálózatra. Vagy a csalók a hitelesítő adatokat további támadásokhoz használják fel, melyekkel ugyanazon a platformon más felhasználókat céloznak meg. Folyamatos kereslet van az ellopott felhasználói hitelesítő adatokra - különösen a legitim szolgáltatásokhoz hozzáférést biztosító azonosítókra, amelyeket a támadók vírus egyszerű hosztolására vagy további terjesztésére használhatnak. Az információtolvaj eszközök alsóbbrendű fenyegetéseknek tűnhetnek, ám nem azok.

A Sophos azt javasolja azoknak szervezeteknek, melyek a munkahelyi chathez és kollaborációhoz online szolgáltatásokat használnak, hogy alkalmazzanak többlépcsős azonosítást (MFA) a dolgozók fiókjainak védelméhez. Továbbá biztosítsák azt, hogy az alkalmazottak naprakész vírus elleni védelemmel rendelkezzenek bármely digitális eszközükön, amelyekről távolról hozzáférnek a munkához kapcsolódó szolgáltatásokhoz.