Инфостилер Raccoon начал использовать Telegram для C2-связи

Операторы знаменитого вредоноса Raccoon, специализирующегося на краже информации, нашли новый канал для распространения. Также злоумышленники теперь используют Telegram для хранения и обновления адресов командного сервера (C2).

Впервые Raccoon замаячил на ландшафте киберугроз в апреле 2019 года. В новых версиях вредоносной программы авторы начали задействовать мессенджер Telegram, который помогает им хранить и поддерживать в актуальном состоянии адреса C2.

Как отметили специалисты антивирусной компании Avast, такой подход позволяет злоумышленникам обеспечить надёжное управление зловредом на лету.

Исследователи считают, что за разработкой Raccoon стоят связанные с Россией киберпреступники. Инфостилер может не только воровать пароли, но и извлекать файлы cookies, данные криптокошельков, а также логины и пароли из имейл-клиентов и мессенджеров.

«Также стоит отметить, что Raccoon может загружать и выполнять произвольные файлы, что делает его крайне опасным для конечного пользователя», — пишет Владимир Мартьянов из Avast.

Ранее операторы Raccoon распространяли его в виде файлов в формате .IMG, которые располагались в принадлежащем злоумышленникам Dropbox-аккаунте. Ссылки на эти файлы киберпреступники рассылали в рамках BEC-кампаний (business email compromise), нацеленных на финансовые организации.

Теперь, по словам Мартьянова, операторы прибегают к более креативным методам: Raccoon доставляется на устройства жертв под видом читов для игр, «кряков» для различного софта (модов для Fortnite, Valorant и NBA2K22) и т. п.

Чтобы взаимодействовать с C2 через Telegram, Raccoon использует четыре значения, жёстко заданные в коде вредоноса:

• MAIN_KEY;
• URL Telegram-шлюзов с именем канала;
• BotID — шестнадцатеричная строка, которая отправляется C2-серверу;
• TELEGRAM_KEY — ключ для расшифровки адреса C2, получаемый из Telegram.

Напомним, что летом 2021 года авторы Raccoon случайно заразили свои системы и слили данные, пока тестировали работу вредоноса.