Raccoon Stealer平台幕后的犯罪分子已经更新了他们的服务,包括从目标计算机中盗窃加密货币的工具,以及用于投放恶意软件和窃取文件的远程访问功能。
这个服务平台的使用者通常是新秀黑客,该平台可以提供偷窃浏览器存储的密码和认证cookies的服务。根据Sophos实验室在周二公布的研究内容中,该平台目前已经发布了很多重要的功能更新,其中包括新的攻击工具和分发网络,同时也提高了对目标攻击的成功率。
首先,Raccoon Stealer已经从基于收件箱的感染方式转向利用谷歌搜索进行传播的感染方式。据Sophos称,攻击者现在已经能够熟练地对恶意网页进行了优化,使其在谷歌搜索的结果中排名靠前。在这一攻击活动中,引诱受害者的诱饵是盗版软件工具,如用于 “破解 “正版收费软件进行使用的程序,或用来生成注册密钥、解锁正版软件的激活程序。
Sophos公司高级威胁研究人员Yusuf Polat和Sean Gallagher写道:”虽然这些网站宣称自己是一个合法的软件网站,但提供下载的文件实际上是一个伪装的dropper。点击下载链接后会连接到托管在亚马逊网络服务上的JavaScripts重定向器,将受害者分流到多个不同的下载地点,提供不同版本的dropper进行下载。”
Raccoon更新了新的攻击方式
Raccoon Stealer的攻击方式与其他通过收件箱对个人的信息窃取的恶意软件不同,Sophos追踪发现攻击活动是通过恶意网站传播的。
研究人员说,被骗的受害者会下载一个包含有效载荷的文档。该档案包含另一个受密码保护的文档和一个包含密码的文本文件,它们会在感染链的后面使用。包含可执行文件的文档是受密码保护的,这样就可以逃避恶意软件扫描。
该可执行文件提供了自解压安装程序。他们有与7zip或Winzip SFX等工具的自解压档案相关的签名,但不能被这些工具解压。索福斯认为:”签名要么是伪造的,要么文件的标题已经被投放者处理过,可以防止在没有执行文件的情况下解包。”
Sophos说,交付给受害者的恶意软件可能包括加密货币挖矿工具、”Clippers”(在交易过程中通过修改受害者的系统剪贴板和改变目标钱包来窃取加密货币的恶意软件)、恶意的浏览器扩展程序、Djvu/Stop(一种主要针对家庭用户的勒索软件)。
偷窃者使用的基础设施
至于如何管理被感染的系统,Sophos说,攻击者使用安全信息平台Telegram,并使用RC4加密密钥对通信进一步进行了混淆。
通过使用硬编码的RC4密钥,Raccoon对通道中的信息进行解密,其中包含一个命令和控制(C2)的地址。 他们写道:”这个过程并不是直接执行就可以进行解密的,所产生的字符串在通道描述的开始和结束处会被删除,然后代码用RC4解密文本以获得C2的地址。”
犯罪分子会使用该工具进行地毯式的搜索,盗取有价值的文件,从基于浏览器的数据到加密货币钱包,都会使用C2进行窃取。同时,这个C2还被用来下载一个用Visual Basic .NET编写的SilentXMRMiner工具,该工具在运行时还会用Crypto Obfuscato进行混淆。
据Sophos称,自2020年10月以来,由Raccoon Stealer交付的第二级有效载荷包括18个恶意软件样本。最近的一个是名为QuilClipper的针对加密货币交易进行攻击的恶意软件。
研究人员写道:”在Virustotal上分析.Net加载器和clipper类似的样本时,我们发现很多的样本会托管在bbhmnn778[.fun]域名上。在调查相关文件并对其文件名进行搜索,我们发现了一个宣传《Raccoon Stealer》和《QuilClipper》的YouTube频道。”
Raccoon的攻击特点
通过对Raccoon Stealer基础设施的研究显示,域名xsph[.]ru下有60个子域名,其中21个最近处于活跃状态,同时发现该域名通过俄罗斯主机提供商SprintHost[.]ru注册。
Polat和Gallagher写道:”这个Raccoon Stealer攻击活动表明犯罪活动现在已经变得非常专业化。他们说,威胁行为者越来越多地开始使用付费服务,如投放器即服务,来部署Raccoon和恶意软件托管平台。
据Sophos估计,这次Raccoon攻击活动幕后的犯罪分子部署恶意软件,窃取cookie和凭证,并在犯罪市场上出售这些被盗的凭证,窃取价值约13200美元的加密货币,并利用受害者的计算资源在六个月内挖掘2900美元的加密货币,该犯罪企业的运行成本估计为1250美元。
索福斯写道:”正是由于这种低成本的投入使这种类型的网络犯罪如此普遍”。
本文翻译自:https://threatpost.com/raccoon-stealer-google-seo/168301/
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/125750.html<
