“浣熊(RACCOON)”,于今年新出现的一种间谍软件(infostealer),尽管在功能并不复杂和新颖,但的确已经感染了全球10万多台计算机,甚至被网络安全公司Cybereason认为是2019年暗网交易市场十大最热门的恶意软件之一。
图1.2019暗网交易市场十大最热门恶意软件(来源:Recorded Future )
Cybereason表示,RACCOON到目前为止已经建立起了一支强大的追随者群体,这来源它被作为恶意软件即服务(MaaS)提供,与之相关的广告宣传随处可见。
RACCOON是一种什么病毒?RACCOON,也被称为“ Mohazo”或“ Racealer”,它的核心组件是一个简单的信息窃取程序,通常出现在Fallout和RIG漏洞利用工具包中。
Raccoon是采用c 编写的,能够在32位和64位操作系统上运行,可用于窃取信用卡信息、加密货币钱包,以及与浏览器和电子邮件客户端等相关的数据,具体如下:
- 信用卡信息
- 加密货币钱包
- 密码
- 电子邮件
- 来自几乎所有主流浏览器的数据,包括信用卡信息、URL、用户名和密码等
- Cookie
- 系统信息
RACCOON的开发者被认为是一个母语是俄语的团队,因为有关它的广告最初仅出现在俄语黑客论坛上。具体来说,自今年4月份以来,它的开发团队就一直在积极地开展广告宣传活动。
图2.俄语黑客论坛上的RACCOON广告
如上所述,RACCOON以恶意软件即服务(MaaS)的形式出售,且具有易于使用的后端控制面板,目前的售价为每月200美元。
RACCOON如何感染目标计算机?Cybereason公司表示,RACCOON的传播方式有很多种,最常见的是漏洞利用工具包、网络钓鱼电子邮件以及与恶意软件捆绑在一起。
漏洞利用工具包
一旦用户访问了恶意页面,就会被重定向到包含漏洞利用代码的登录页面,进而导致计算机感染RACCOON。
具体来讲,漏洞利用工具包首先会在浏览器中生成一个PowerShell实例,然后下载RACCOON。
图3. 借助Fallout漏洞利用工具包传播RACCOON
网络钓鱼电子邮件
钓鱼电子邮件所携带的附件通常是一份Ofiice文档,一旦打开,内嵌的恶意宏代码就会执行。
恶意宏代码执行后,首先会创建于恶意域的链接,然后下载RACCOON。
图4. 借助网络钓鱼电子邮件传播RACCOON
与恶意软件捆绑在一起
恶意软件通常伪装成合法软件,下载并安装这样的软件,也就会导致RACCOON同时被安装。
RACCOON的核心功能分析收集受感染计算机的本地设置
图5. RACCOON用于检查受感染计算机本地设置的代码
值得一提的是,RACCOON在检查受感染计算机的本地设置时,会将其与硬编码的语言列表进行对比,如果受感染计算机的语言设置是俄语、乌克兰语、白俄罗斯语、哈萨克语、吉尔吉斯语、亚美尼亚语、塔吉克语或乌兹别克语,那么它则会立即停止运行。
收集用户敏感信息
RACCOON能够使用多种方法来收集用户敏感信息,具体如下:
1.屏幕截图
图6. RACCOON用于进行屏幕截图的代码
为了实现屏幕截图功能,Raccoon会使用到GetDesktopWindow和CreateCompatibleBitmap,并将截图命名为“screen.jpeg”存储到Temp文件夹中。
2.窃取系统信息
Raccoon还会搜集受感染计算机的系统信息,包括用户名、IP地址、语言设置、操作系统版本,以及有关已安装应用程序和CPU、内存等的信息。这些信息将被存储到位于如下位置的文本文件中:
C:\Users\[用户名]\AppData\Local\Temp\machineinfo.txt
图7.Raccoon收集的信息
窃取浏览器信息
众所周知,许多保存到浏览器的数据都存储在本地计算机上的SQLite数据库文件中。例如,当用户在浏览器中保存其用户名和密码时,浏览器就会将数据存储在Login Data SQLite数据库文件中。
此外,浏览器还会将cookie信息存储在cookie文件中,并将其他自动填充数据(如信用卡信息)存储在Web Data文件中。
Raccoon能够从30多款不同的浏览器中窃取这些信息,具体如下:
- Chrome
- Amigo
- RockMelt
- Sputnik
- Chromium
- Orbitum
- 360Browser
- Kometa
- Xpom
- Bromium
- Vivaldi
- uCozMedia
- Comodo
- Nichrome
- Opera
- QIP Surf
- Epic Privacy Browser
- CocCoc
- Suhba
- Chedot
- CentBrowser
- Elements Browser
- Safer Technologies - Secure Browser
- Superbird
- 7Star
- TorBro
- Rafotech - Mustang
- Torch
- Firefox
- WaterFox
- SeaMonkey
- Pale Moon
- GO!
图8.Raccoon用于窃取浏览器数据文件的代码
在窃取到这些文件后,Raccoon会对它们随机命名,然后复制到Temp文件夹中。
随后,它将使用从其C2服务器下载的DLLSQLite3.dll来解析文件并提取敏感数据。被窃取的信息将被分为多个文本文件,并被保存在“Temp/browsers”文件夹下。
此外,Raccoon还会创建了一个名为“passwords.txt”的文件,用于保存从受感染计算机上窃取的所有密码。
图9. passwords.txt示例,其中包含Raccoon窃取的密码
窃取Outlook帐户
图10.Raccoon用于提取有关Microsoft Outlook帐的信息的代码
Raccoon能够从受感染计算机上的注册表项中提取有关Microsoft Outlook帐户的信息,具体注册表项如下:
- HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook
另外,Raccoon还会在Windows注册表中搜索存储在电子邮件客户端中的敏感信息,如用户名和密码,然后将其保存到“Temp/mails”文件夹下的文本文件中。
图11.Raccoon用于从电子邮件客户端收集账户信息的代码
窃取加密货币钱包
Raccoon会在受感染计算机上搜索多款加密货币钱包,具体如下:
- C:\Users\<user>\AppData\Roaming\Electrum\wallets
- C:\Users\<user>\AppData\Roaming\Jaxx\Local Storage
- C:\Users\<user>\AppData\Roaming\Exodus\exodus.wallet
- C:\Users\<user>\AppData\Roaming\Ethereum Wallet
只要找到任何一款,它就会将其保存到Temp文件夹下,然后进行自动处理。
数据上传和自我删除
在收集到所有数据之后,Raccoon会将它们打包成一个zip压缩文件(gate.zip),然后上传到C2服务器。
图12. gate.zip所包含的内容
在数据上传完成之后,Raccoon会从受感染计算机中删除其二进制文件——使用ping.exe生成cmd.exe并执行delete命令。
图13.Raccoon创建的恶意进程旨在清除任何可能的痕迹
结论尽管Raccoon可能并不是暗网交易市场上最具创新性的间谍软件,但它仍对大量不法分子产生了巨大的吸引力,这主要来源于其开发团队铺天盖地的广告,以及给网络犯罪提供的便利。
Raccoon受到热捧的这一事件说明,恶意软件的开发者想要获取非法收益,甚至都不用直接参与犯罪,只需搭建一个平台就足以实现。而另一方面,不法分子想要实施网络犯罪,甚至都不需要掌握太多的技术,仅仅花上几百美元就可以完成这一切。
近年来,尽管多个国家有关当局都针对暗网交易市场加大了打击力度。但事实证明,这条路似乎还十分漫长。
,
