Infostealer,我们通常称之为“间谍软件”,它是众多恶意软件中的一种,能够从受感染系统中窃取各种敏感数据,包括登录凭证、个人信息、财务信息,等等。
尽管能够窃取高价值数据,但间谍软件的编码往往并不复杂。在暗网市场上,你甚至只需要花上几美元就能够购买到一款制作精良的间谍软件,这也就是我们常说的“恶意软件即服务(MaaS)”。
在去年11月份,我们就曾为大家详细介绍了以恶意软件即服务形式出售的RACCOON间谍软件,其开发者不仅提供完全有效的软件包,而且还免费提供长期的技术支持(包括但不限于bug修复和软件更新)。
就在一个月前,有关新版RACCOON间谍软件的营销广告开始出现在此前的俄罗斯黑客论坛上。根据广告描述,RACCOON的开发者此次为它新增了能够从FileZilla(一款免费开源的FTP客户端软件)中窃取FTP服务器凭证以及从UC浏览器中窃取登录凭证的能力。
此外,RACCOON的面板此次也得到了改进,一些UI问题已得到修复,并且还新增加了一个选项,允许购买者通过面板直接加密构建并将其下载为DLL文件。
图1.有关新版RACCOON介绍的帖子
RACCOON简介RACCOON,也被称为“ Mohazo”或“ Racealer”,于2019年4月首次被发现。分析表明,它能够从近60款常用软件中窃取敏感数据,包括登录凭证、支付卡信息、加密货币钱包以及浏览器信息(cookie、历史记录、自动填充)。
目标浏览器如下:
- Google Chrome
- Google Chrome (Chrome SxS)
- Chromium
- Xpom
- Comodo Dragon
- Amigo
- Orbitum
- Bromium
- Nichrome
- RockMelt
- 360Browser
- Vivaldi
- Opera
- Sputnik
- Kometa
- Uran
- QIP Surf
- Epic Privacy
- CocCoc
- CentBrowser
- 7Star
- Elements
- TorBro
- Suhba
- Safer Browser
- Mustang
- Superbird
- Chedot
- Torch
- Internet Explorer
- Microsoft Edge
- Firefox
- WaterFox
- SeaMonkey
- PaleMoon
目标电子邮箱客户端如下:
- ThunderBird
- Outlook
- Foxmail
目标加密货币钱包如下:
- Electrum
- Ethereum
- Exodus
- Jaxx
- Monero
- Bither
调查显示,RACCOON主要通过以下两种方式之一进行传播:
1.漏洞利用工具包
一旦受害者访问了恶意页面,就会被重定向到包含漏洞利用代码的登录页面,进而导致感染RACCOON,感染链如下图所示:
图2. 借助Fallout漏洞利用工具包传播RACCOON
2.网络钓鱼活动
钓鱼电子邮件所携带的附件通常是一份Ofiice文档,一旦打开,内嵌的恶意宏代码就会执行,然后创建与恶意域的连接,最后下载RACCOON。
图3.借助网络钓鱼电子邮件传播RACCOON
在窃取到所需的数据后,RACCOON会将它们汇总到一个名为“Log.Zip”的压缩文件中。然后,它将要做的就是将zip文件发送回C&C服务器并删除所有痕迹。
图4.Zip文件内容
除窃取数据外,RACCOON具有下载文件的功能。也就是说,它还可以被用于将其他恶意软件下载到受感染系统中,进而执行更多的恶意操作(从loader_urls注册表项中获取URL,将文件下载到temp文件夹下,并通过使用文件路径调用ShellExecuteA来执行文件)。
结语低廉的价格(每周75美元,每月200美元)、丰富的价格、完善的配套服务,RACCOON自上架以来已经获得了大批客户。
不得不说,恶意软件即服务的确大大降低了网络犯罪的门槛。无需掌握太多的黑客技术,仅仅花上几百美元,甚至几美元就可以轻松完成这一切。
近年来,尽管全球多国有关当局都加大了对暗网市场的打击力度。但事实证明,这条路似乎还十分漫长。
,