Инфостилер Raccoon начал использовать Telegram для C2-связи

Екатерина Быстрова 14 Марта 2022 - 13:05

...

Инфостилер Raccoon начал использовать Telegram для C2-связи

Операторы знаменитого вредоноса Raccoon, специализирующегося на краже информации, нашли новый канал для распространения. Также злоумышленники теперь используют Telegram для хранения и обновления адресов командного сервера (C2).

Впервые Raccoon замаячил на ландшафте киберугроз в апреле 2019 года. В новых версиях вредоносной программы авторы начали задействовать мессенджер Telegram, который помогает им хранить и поддерживать в актуальном состоянии адреса C2.

Как отметили специалисты антивирусной компании Avast, такой подход позволяет злоумышленникам обеспечить надёжное управление зловредом на лету.

Исследователи считают, что за разработкой Raccoon стоят связанные с Россией киберпреступники. Инфостилер может не только воровать пароли, но и извлекать файлы cookies, данные криптокошельков, а также логины и пароли из имейл-клиентов и мессенджеров.

«Также стоит отметить, что Raccoon может загружать и выполнять произвольные файлы, что делает его крайне опасным для конечного пользователя», — пишет Владимир Мартьянов из Avast.

Ранее операторы Raccoon распространяли его в виде файлов в формате .IMG, которые располагались в принадлежащем злоумышленникам Dropbox-аккаунте. Ссылки на эти файлы киберпреступники рассылали в рамках BEC-кампаний (business email compromise), нацеленных на финансовые организации.

Теперь, по словам Мартьянова, операторы прибегают к более креативным методам: Raccoon доставляется на устройства жертв под видом читов для игр, «кряков» для различного софта (модов для Fortnite, Valorant и NBA2K22) и т. п.

Чтобы взаимодействовать с C2 через Telegram, Raccoon использует четыре значения, жёстко заданные в коде вредоноса:

MAIN_KEY;
URL Telegram-шлюзов с именем канала;
BotID — шестнадцатеричная строка, которая отправляется C2-серверу;
TELEGRAM_KEY — ключ для расшифровки адреса C2, получаемый из Telegram.

Напомним, что летом 2021 года авторы Raccoon случайно заразили свои системы и слили данные, пока тестировали работу вредоноса.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 22 Января 2026 - 08:53

Несанкционированный доступ Кибершпионаж Домашние пользователи Государство

Расследование ФБР показало, как офисный принтер может «донести» на вас

В США разворачивается история, больше похожая на шпионский сериал, чем на сухую сводку Минюста. И одну из ключевых ролей в ней сыграл офисный принтер. 9 января федеральные прокуроры предъявили обвинения Аурелио Луису Перес-Лугонесу — ИТ-специалисту подрядной компании, работавшей с государственными структурами.

Его обвиняют в незаконном хранении информации, связанной с национальной безопасностью. При этом речь не идёт о передаче секретных данных — по крайней мере, напрямую этого в материалах дела не утверждается.

Широкий резонанс история получила после того, как в рамках расследования агенты ФБР провели обыск у журналистки Washington Post Ханны Натансен. По данным Минюста, Перес-Лугонес переписывался с ней и обсуждал конфиденциальные темы. Натансен известна публикациями о влиянии администрации Дональда Трампа на федеральные ведомства.

Но самая неожиданная деталь всплыла в аффидевите (PDF) ФБР. Именно он показывает, каким образом следствие вышло на подозреваемого. Как утверждают правоохранители, Перес-Лугонес пытался вынести данные из SCIF — защищённого помещения для работы с секретной информацией — довольно хитрым способом.

Вместо прямой печати классифицированного отчёта он якобы делал скриншоты экрана, обрезал их и вставлял в документ Microsoft Word. Расчёт был простой: если печатается не секретный файл, а обычный Word-документ с картинками, принтерные логи не выдадут ничего подозрительного. Даже название файла он выбрал максимально нейтральное — вроде «Microsoft Word – Document1».

Однако расчёт не оправдался. Как выяснилось, системы контроля у работодателя Перес-Лугонеса позволяют не только видеть стандартные метаданные печати — имя файла, время и пользователя, — но и восстанавливать копии самих распечатанных документов. В результате следователи получили доступ к тем самым изображениям со скриншотами секретных материалов.

Кроме того, в материалах дела упоминается ещё один эпизод: подозреваемого якобы заметили за тем, как он открывает секретный документ и делает письменные заметки, постоянно переводя взгляд с экрана на блокнот. Каким образом это было зафиксировано, прямо не говорится, но контекст явно намекает на видеонаблюдение внутри защищённого помещения.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »