Специализирующаяся на информационной безопасности компания CyberArk выяснила, что вредонос Racoon способен похищать конфиденциальные данные из всех популярных браузеров, почтовых клиентов и некоторых других видов приложений. В общей сложности перед нем бессильны 60 различных программ.

Racoon появился в начале 2019 года и распространяется по схеме MaaS — malware-as-a-service (вредонос-как-услуга). Полписка на его использование обходится злоумышленнику в 75 долларов в неделю или 200 долларов в месяц. При этом, как отмечают злоумышленники, поддержка Racoon организована максимально удобно: у вредоноса простая в использовании панель управления, абьюзоустойчивый хостинг, а клиентам круглосуточно предоставляются консультации и помощь на английском и русском языках.

Racoon проникает на компьютеры через фишинговые письма, взломанные сайты и вирусы, которые уже поселились в памяти и могут скачивать и устанавливать произвольное ПО. Он заразил несколько сот тысяч систем в США, Европе и Азии, причём его жертвами становятся как организации, так и частные лица.

Racoon ориентирован на похищение данных из следующих браузеров: Google Chrome, Google Chrome (Chrome SxS), Chromium, Xpom, Comodo Dragon, Amigo, Orbitum, Bromium, Nichrome, RockMelt, 360Browser, Vivaldi, Opera, Sputnik, Kometa, Uran, QIP Surf, Epic Privacy, CocCoc, CentBrowser, 7Star, Elements, TorBro, Suhba, Safer Browser, Mustang, Superbird, Chedot, Torch, Internet Explorer, Microsoft Edge, Firefox, WaterFox, SeaMonkey и PaleMoon. Кроме того, этот вредонос следит за почтовыми клиентами ThunderBird, Outlook и Foxmail, а также кошельками, где хранятся монеты  Electrum, Ethereum, Exodus, Jaxx, Monero и Bither.

Схема похищения данных выглядит следующим образом: Racoon обнаруживает файлы, содержащие ценную информацию, копирует их во временную папку, расшифровывает их, записывает полученный результат и отправляет его на удалённый сервер. Оттуда эти данные перенаправляются клиентам, оформившим подписку на использование вредоноса.