【安全资讯】恶意软件即服务:窃取Cookie、加密货币的Raccoon Stealer窃密器

猎影实验室 2021-08-05 06:50:19 2480人浏览

引言

近日,Raccoon Stealer的作者将恶意软件以服务形式向犯罪分子出售,并对服务内容进行了更新,包括从目标计算机中提取加密货币的工具,以及增加用于投放恶意软件和获取文件的新远程访问功能。Raccoon Stealer是一个窃取者即服务(Stealer-as-a-service)平台,可以帮助黑客获取用户的敏感信息,例如登录凭据、cookie和浏览器存储的密码,该平台的客户通常是新手黑客。


简况

目前,Raccoon Stealer 已从基于收件箱的感染转向利用 Google 搜索的感染。攻击者已经掌握了针对 Google 搜索结果优化恶意网页的方法。在此活动中,引诱受害者的诱饵是软件盗版工具,例如破解版软件或生成注册密钥以解锁许可软件的“keygen”密钥生成器程序。在 Google 上搜索破解版软件包,则会出现指向盗版软件站点的链接,如下图:


虽然这些网站将自己标榜为‘破解’合法软件包的存储库,但所提供的文件实际上是伪装的释放器。单击指向连接到 Amazon Web Services 上托管的一组重定向器 JavaScript 的下载链接,将受害者分流到多个下载位置中的一个,提供不同版本的投放器。


Raccoon Stealer的攻击活动通常从下载存档文件开始。受害者下载档案的第一阶段有效载荷。该存档包含另一个受密码保护的存档和一个文本文档,其中包含稍后在感染链中使用的密码。因为受密码保护,安装可执行文件在解压后可以轻松绕过恶意软件扫描。打开可执行文件会提供自解压安装程序,包含自解压工具的签名,例如WinZIP SFX 或7Zip。


传送给受害者的恶意软件可能包括:

1.加密矿工

2.“Clippers”(窃取加密货币的恶意软件)

3.恶意浏览器扩展程序

4.YouTube click诈骗机器人

5.Djvu/Stop(针对家庭用户的勒索软件)

6.Stealer-as-a-Service 平台的基础设施


攻击者使用Telegram平台,利用 RC4 加密密钥进一步混淆通信,以掩盖与 Raccoon“客户”相关的配置 ID。Raccoon使用硬编码的 RC4 密钥解密C2 '门' 的地址。对 Raccoon Stealer 基础设施的研究显示,域 xsph[.]ru 下有 60 个子域,其中 21 个最近活跃并通过俄罗斯托管服务提供商 SprintHost[.]ru 注册。


结语

Raccoon 活动背后的犯罪分子能够部署恶意软件、窃取 cookie 和凭据,并在犯罪市场上出售这些被盗凭据。自 2020 年 10 月以来,Raccoon Stealer 的有效载荷已经分发了 18 个不同的恶意软件版本,窃取了价值约 13,200 美元的比特币,经营非法企业的成本约为 1,250 美元。

失陷指标(IOC)17
Raccoon Stealer 账号窃密 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。