В процессе тестирования разработчик заразил вредоносом тестовый компьютер, и данные о нем были пойманы ИБ-платформой.
Разработчик вредоносного ПО «выпустил на волю» свое творение на своем же компьютере с целью протестировать новые функции, и в итоге оно было «поймано» ИБ-платформой для мониторинга взломанных систем.
Речь идет об инфостилере Raccoon, способном похищать данные из десятков приложений и приобретшем большую популярность за последние два года.
В процессе тестирования нового варианта Raccoon разработчик заразил им свой тестовый компьютер, в результате чего собранные им данные сразу же отправились на C&C-сервер, а затем на киберпреступные форумы.
Зараженный Raccoon тестовый компьютера был обнаружен с помощью платформы Hudson Rock Cavalier – базы данных, осуществляющей мониторинг взломанных систем. По словам старшего технического директора Hudson Rock Алона Гала (Alon Gal), инфостилер инфицировал более 1 млн отслеживаемых Cavalier компьютеров.
Разработчик заразил свою тестовую машину еще в феврале, но долгое время оставался незамеченным, поскольку не является клиентом Hudson Rock. Однако внимание исследователей привлек IP-адрес компьютера, 1.1.1.1, специально модифицированный на C&C-сервере с целью скрыть настоящий. Забавно, что этот IP-адрес используется DNS-резолвером Cloudflare.
Собранные с зараженного тестового компьютера данные свидетельствуют о том, что разработчик проверял способность Raccoon извлекать пароли из Google Chrome – основную функцию во многих инфостилерах. Кроме того, Cavalier удалось получить связанное с вредоносным ПО название и множество электронных адресов.
К сожалению, полученных данных недостаточно для раскрытия личности разработчика. Как пояснил Гал, создатель вредоноса намеренно заразил компьютер и поэтому предпринял все меры безопасности.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале