【安全资讯】恶意软件即服务：窃取Cookie、加密货币的Raccoon Stealer窃密器

引言

近日，Raccoon Stealer的作者将恶意软件以服务形式向犯罪分子出售，并对服务内容进行了更新，包括从目标计算机中提取加密货币的工具，以及增加用于投放恶意软件和获取文件的新远程访问功能。Raccoon Stealer是一个窃取者即服务（Stealer-as-a-service）平台，可以帮助黑客获取用户的敏感信息，例如登录凭据、cookie和浏览器存储的密码，该平台的客户通常是新手黑客。

简况

目前，Raccoon Stealer 已从基于收件箱的感染转向利用 Google 搜索的感染。攻击者已经掌握了针对 Google 搜索结果优化恶意网页的方法。在此活动中，引诱受害者的诱饵是软件盗版工具，例如破解版软件或生成注册密钥以解锁许可软件的“keygen”密钥生成器程序。在 Google 上搜索破解版软件包，则会出现指向盗版软件站点的链接，如下图：

虽然这些网站将自己标榜为‘破解’合法软件包的存储库，但所提供的文件实际上是伪装的释放器。单击指向连接到 Amazon Web Services 上托管的一组重定向器 JavaScript 的下载链接，将受害者分流到多个下载位置中的一个，提供不同版本的投放器。

Raccoon Stealer的攻击活动通常从下载存档文件开始。受害者下载档案的第一阶段有效载荷。该存档包含另一个受密码保护的存档和一个文本文档，其中包含稍后在感染链中使用的密码。因为受密码保护，安装可执行文件在解压后可以轻松绕过恶意软件扫描。打开可执行文件会提供自解压安装程序，包含自解压工具的签名，例如WinZIP SFX 或7Zip。

传送给受害者的恶意软件可能包括：

1.加密矿工

2.“Clippers”（窃取加密货币的恶意软件）

3.恶意浏览器扩展程序

4.YouTube click诈骗机器人

5.Djvu/Stop（针对家庭用户的勒索软件）

6.Stealer-as-a-Service 平台的基础设施

攻击者使用Telegram平台，利用 RC4 加密密钥进一步混淆通信，以掩盖与 Raccoon“客户”相关的配置 ID。Raccoon使用硬编码的 RC4 密钥解密C2 '门' 的地址。对 Raccoon Stealer 基础设施的研究显示，域 xsph[.]ru 下有 60 个子域，其中 21 个最近活跃并通过俄罗斯托管服务提供商 SprintHost[.]ru 注册。

结语

Raccoon 活动背后的犯罪分子能够部署恶意软件、窃取 cookie 和凭据，并在犯罪市场上出售这些被盗凭据。自 2020 年 10 月以来，Raccoon Stealer 的有效载荷已经分发了 18 个不同的恶意软件版本，窃取了价值约 13,200 美元的比特币，经营非法企业的成本约为 1,250 美元。