Вредонос Raccoon переписан на C, стал быстрее воровать данные

Вредонос Raccoon переписан на C, стал быстрее воровать данные

Вредонос Raccoon переписан на C, стал быстрее воровать данные

Инфостилер Raccoon, два месяца не подававший признаков жизни, вернулся в новой версии (2.0), которая, по свидетельству S2W, пока мало чем отличается от предыдущей. Недоработки в новом коде и отсутствие некоторых функций говорят о вероятности обновлений; развитие версии 1.0 прекращено — вирусописатели сами заявили об этом.

В конце марта участники проекта Raccoon были вынуждены свернуть свои операции из-за гибели основного разработчика; соответствующее объявление обнаружили в даркнете специалисты S2W. Автор поста пообещал вернуться с новой версией зловреда, а в середине мая в Telegram-канале кибергруппы появились подробности новинки, проходящей тестирование.

В начале текущего месяца экспертам удалось раздобыть образец Raccoon V2 — в ходе вредоносной кампании FakeCrack, в рамках которой раздавались различные инфостилеры, в том числе RedLine. Проведенный в S2W анализ показал, что вернувшийся «енот» переписан на C/C++, то есть стал проворнее, а также получил новый билдер, фронтенд и бэкенд.

Упаковщик кода остался прежним, строки, как и ранее, шифруются с использованием Base64 и RC4. Из отличий самое очевидное — появление «визитной карточки» Raccoon в лог-файле.

 

Поток выполнения в целом сохранился, хотя многие части вредоносной программы были изменены.

 

При запуске зловред проверяет страну, в которую прибыл (ищет строку «ru» в дефолтном Locale Name), но никаких действий после этого пока не совершает. Он также пытается удостовериться, что текущий процесс запущен с привилегиями Local System, но результат тоже не использует (прежний Raccoon пускал в ход функцию, дублирующую токен explorer.exe).

Адреса центров управления (у подвергнутого анализу семпла их было пять) вшиты в код. Формат конфигурационного файла, получаемого с сервера, изменен с JSON на кастомный. Для сбора информации оттуда же загружаются восемь DLL; системные данные отсылаются на C2 без создания файла, как ранее.

Список объектов для кражи, интересующих Raccoon, остался примерно тем же:

  • хранилище браузера;
  • установленные криптовалютные расширения браузера (MetaMask, TronLink, BinanceChain, Ronin, coinomi, electrum и т. п.);
  • программы-кошельки (exodus, atomic, jaxx, binance, coinomi, electrum и проч.) и файлы wallet.dat на локальных дисках;
  • локальные файлы по выбору оператора;
  • все, что связано с Telegram.

Обновленный инфостилер также умеет делать и отсылать скриншоты, выполнять дополнительные команды и загружать других зловредов.

Распространяется Raccoon V2 пока по-прежнему — через кряки, однако аналитики предупреждают, что в дальнейшем могут появиться и другие способы.

SpamBlocker для Android научился автоответам на заблокированные звонки

Вышло обновление проекта SpamBlocker — блокировщика СМС-спама и нежелательных звонков для устройств на Android 10 и новее. Для звонков SpamBlocker работает как определитель номера и не требует заменять стандартные приложения для звонков и СМС.

Он проверяет входящие вызовы и может отсеивать нежелательные, не меняя привычную схему использования телефона.

Исходный код софта опубликован на GitHub под лицензией MIT. Продукт написан на Kotlin и Java.

Приложение анализирует разные признаки звонка: страну, оператора, частоту вызовов, контакты, группы контактов, префиксы, историю набранных и принятых номеров, STIR/SHAKEN и другие параметры. Также учитываются экстренные вызовы.

 

 

Отдельно отмечается, что SpamBlocker умеет отличать звонки курьеров и сервисов доставки. Пользователь может задавать собственные правила — например, блокировать номера с определённым префиксом или сообщения со словами вроде «кредит», «акция» и «распродажа».

СМС обрабатываются в двух режимах. В Standalone Mode приложение само показывает уведомления о сообщениях, поэтому уведомления в основном СМС-клиенте лучше отключить, чтобы не получать дубли.

В Screening provider mode СМС-приложение проверяет сообщения в реальном времени, а SpamBlocker возвращает короткое решение. Этот вариант гибче: он может работать без разрешения на СМС и лучше поддерживает RCS и MMS, но зависит от того, поддерживает ли нужный протокол само СМС-приложение.

В новом выпуске изменён воркфлоу для рингтонов. Он несовместим со старыми настройками, поэтому их нужно настроить заново. Зато теперь рингтон можно привязывать к повторным звонкам, контактам и regex-правилам.

Также появился воркфлоу SMS Reply: приложение может автоматически отправлять СМС контактам, если их звонок был заблокирован, например в режиме встречи. Кроме того, исправлен сбой при восстановлении резервной копии из большой базы данных, а API-запросы теперь поддерживают более гибкую логику блокировки на основе положительных и отрицательных оценок номера.

RSS: Новости на портале Anti-Malware.ru