Sophos-Report

Raccoon-Stealer nutzt Telegram für Crypto Crimes

Uhr
von Marc Landis und cwa

Der weit verbreitete Raccoon-Stealer nutzt auch Telegram für Crypto-Mining und Crypto-Diebstahl. Erstmals wurde der Chat-Dienst für die Befehls- und Kontrollkommunikation eingespannt. Zudem wird er mit Ransomware und anderer bösartiger Malware kombiniert.

(Source: bloomua / Fotolia.com)
(Source: bloomua / Fotolia.com)

Sophos hat die neue Studie "Trash Panda as a Service: Raccoon-Stealer Steals Cookies, Cryptocoins and More" veröffentlicht. Thema ist ein Stealer, der als Raubkopie getarnt Kryptowährungen und Informationen erbeutet und gleichzeitig schädliche Inhalte wie Kryptominer auf das Zielsystemen einschleust.

Krypto-Wallets im Visier

Die von Sophpos beobachtete Cybercrime-Kampagne zeigt demnach, dass der Raccoon-Stealer sowohl Kennwörter und Cookies als auch Autofill-Texte von Websites stiehlt – einschliesslich Kreditkartendaten und andere persönliche Informationen, die von einem Browser gespeichert werden können.

Mithilfe eines kürzlichen Updates der sogenannten Clipper-Malware, die Daten in der Zwischenablage oder die Zielinformationen für eine Kryptowährungstransaktion ändert, zielt Raccoon-Stealer jetzt auch auf Krypto-Wallets ab, wie Sophos weiter berichtet.

Durch das Update liessen sich Systeme mit zusätzlicher Malware infizieren oder Dateien abrufen und laden. "Das sind eine Menge Optionen, die Cyberkriminelle leicht zu Geld machen können – mit einem Dienst, der der sie lediglich 75 Dollar pro Woche an Miete kostet", sagt Sean Gallagher, Senior Threat Researcher bei Sophos. Gallagher weiter.

Telegram-Taktik ist neu

Der Raccoon-Stealer wird normalerweise über Spam-E-Mails verbreitet. In der von Sophos untersuchten Angriffsserie wird er jedoch über Dropper verbreitet, den die Betreiber als gecrackte Software-Installationsprogramme getarnt haben, wie das Unternehmen weiter schreibt. Dropper kombinieren demnach den Raccoon-Stealer mit zusätzlichen Angriffswerkzeugen, darunter schädliche Browser-Erweiterungen, YouTube-Klickbetrug-Bots und Djvu/Stop, eine Ransomware, die vor allem Privatanwender im Visier hat. Die Kriminellen hinter der Raccoon-Stealer-Kampagne nutzen laut Sophos erstmals auch den Chat-Dienst Telegram für die Befehls- und Kontrollkommunikation.

Übrigens haben Cyberbedrohungen aufgrund von Corona grundsätzlich zugenommen. Die Angreifer nutzen dabei die unterschiedlichsten Vektoren.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_224687