Наследие RECORDSTEALER: призрак прошлого в современных угрозах
Наследие RECORDSTEALER: призрак прошлого в современных угрозах
Alexander Antipov
Даже старые угрозы могут внезапно активизироваться.
В последнее время обнаружение вредоносных программ стало ключевым элементом обеспечения кибербезопасности. Одним из примеров такой угрозы является малварь RECORDSTEALER , известная также как RecordBreaker и Raccoon Stealer V2. Этот инфостилер, написанный на C, специализировался на краже конфиденциальной информации, такой как данные кредитных карт, пароли, куки и криптовалютные кошельки.
RECORDSTEALER активно распространялся через вредоносную рекламу и загрузки взломанных программ, при этом маскируясь под легитимное ПО. Вредоносное ПО загружалось в виде защищённого паролем архива, а пользователь самостоятельно вводил пароль для его распаковки. После успешного запуска вредоносной программы, она передавала системную информацию на командно-контрольный сервер (C2), используя зашифрованные запросы RC4. Среди собранных данных были уникальный идентификатор устройства, имя пользователя и другие параметры, необходимые для дальнейших атак.
Хотя активность RECORDSTEALER прекратилась после ареста её создателя и блокировки инфраструктуры, тактики, использованные в этих атаках, до сих пор находят применение в современных инфостилерах. Киберпреступники продолжают использовать методы распространения через взломанные программы, а также маскируют свои вредоносные программы под легитимное ПО, что представляет серьёзную угрозу для пользователей.
Сценарий работы малвари включает сбор и передачу данных с заражённых систем. RECORDSTEALER активно собирала информацию из браузеров Google Chrome и Mozilla Firefox, включая сохранённые пароли, данные кредитных карт и куки. Дополнительно она могла похищать данные криптовалютных кошельков, делать скриншоты рабочего стола и собирать файлы, связанные с такими приложениями, как Telegram и Discord.
Интересно, что многие методы, использованные в RECORDSTEALER, продолжают встречаться в других инфостилерах, таких как VIDAR и STEALC. Это подчёркивает важность мониторинга активности вредоносного ПО, поскольку даже незначительные изменения в коде могут затруднить его обнаружение.
Для борьбы с такими угрозами используются различные механизмы обнаружения, включая отслеживание подозрительных архивов и активности в папках с минимальными правами доступа. Выявление ранних признаков заражения, таких как создание вредоносных файлов или подозрительные сетевые запросы, помогает своевременно реагировать на угрозы и минимизировать последствия утечки данных.
RECORDSTEALER активно распространялся через вредоносную рекламу и загрузки взломанных программ, при этом маскируясь под легитимное ПО. Вредоносное ПО загружалось в виде защищённого паролем архива, а пользователь самостоятельно вводил пароль для его распаковки. После успешного запуска вредоносной программы, она передавала системную информацию на командно-контрольный сервер (C2), используя зашифрованные запросы RC4. Среди собранных данных были уникальный идентификатор устройства, имя пользователя и другие параметры, необходимые для дальнейших атак.
Хотя активность RECORDSTEALER прекратилась после ареста её создателя и блокировки инфраструктуры, тактики, использованные в этих атаках, до сих пор находят применение в современных инфостилерах. Киберпреступники продолжают использовать методы распространения через взломанные программы, а также маскируют свои вредоносные программы под легитимное ПО, что представляет серьёзную угрозу для пользователей.
Сценарий работы малвари включает сбор и передачу данных с заражённых систем. RECORDSTEALER активно собирала информацию из браузеров Google Chrome и Mozilla Firefox, включая сохранённые пароли, данные кредитных карт и куки. Дополнительно она могла похищать данные криптовалютных кошельков, делать скриншоты рабочего стола и собирать файлы, связанные с такими приложениями, как Telegram и Discord.
Интересно, что многие методы, использованные в RECORDSTEALER, продолжают встречаться в других инфостилерах, таких как VIDAR и STEALC. Это подчёркивает важность мониторинга активности вредоносного ПО, поскольку даже незначительные изменения в коде могут затруднить его обнаружение.
Для борьбы с такими угрозами используются различные механизмы обнаружения, включая отслеживание подозрительных архивов и активности в папках с минимальными правами доступа. Выявление ранних признаков заражения, таких как создание вредоносных файлов или подозрительные сетевые запросы, помогает своевременно реагировать на угрозы и минимизировать последствия утечки данных.