Raccoon Stealer平台背后的犯罪嫌疑人早已升级了他俩的服务项目,包含从总体目标电子计算机中偷盗数字货币的工具,及其用以推广恶意程序和盗取文档的远程连接作用。
这一服务项目平台的用户通常是新星网络黑客,该平台可以给予盗窃电脑浏览器储存的登陆密码和验证cookies的服务项目。依据Sophos试验室在周二发布的研究方向中,该平台现阶段现已公布了许多关键的功能性升级,主要包括新的攻击工具和派发互联网,与此同时也提升了对总体目标攻击的通过率。
最先,Raccoon Stealer早已从根据发件箱的感柒方法转为利用谷歌搜索开展传递的感柒方法。据Sophos称,攻击者如今早已可以熟练地对故意网页页面开展了提升,使其在谷歌搜索的结论中排名靠前。在这里一攻击主题活动中,诱惑受害人的钓饵是盗版工具,如用以 "破译 "原版收费标准手机软件实现应用的程序流程,或用于转化成申请注册密匙、开启授权软件的激话程序流程。
Sophos企业高級危害科学研究工作人员Yusuf Polat和Sean Gallagher写到:"尽管这种网址声称自身是一个正规的软件网站,但给予免费下载的文档事实上是一个掩藏的dropper。立即下载连接后会联接到代管在amazon互联网服务上的JavaScripts跳转器,将受害人分离到好几个不一样的免费下载地址,给予不一样版本号的dropper开展免费下载。"
Raccoon升级了新的攻击方法
Raccoon Stealer的攻击方式与别的根据发件箱对本人的信息内容盗取的恶意程序不一样,Sophos跟踪发觉攻击主题活动是根据恶意网站散播的。
科学研究工作人员说,上当受骗的受害人会下载一个包括有效载荷的文本文档。该档案资料包括另一个受密码设置的文本文档和一个包括登陆密码的文本文档,他们会在感柒链的后边应用。包括可执行程序的文本文档是受密码设置的,那样就可以躲避恶意程序扫描仪。
该可执行程序给予了自缓解压力程序安装。她们有与7zip或Winzip SFX等工具的自缓解压力档案资料有关的签字,但不可以被这种工具缓解压力。索福斯觉得:"签字要不是仿冒的,要不文档的文章标题早已被推广者解决过,可以避免 在沒有实行文档的情形下拆包。”
Sophos说,交付给受害人的恶意程序很有可能包含数字货币挖币工具、"Clippers"(在购买过程中根据改动受害人的系统软件剪切板和更改总体目标钱夹来盗取数字货币的恶意程序)、故意的浏览器扩展程序流程、Djvu/Stop(一种关键对于个人用户的勒索病毒)。
盗窃者应用的基础设施建设
对于怎么管理被感染的系统软件,Sophos说,攻击者应用安全信息平台Telegram,并使用RC4数据加密密匙对通讯进一步开展了搞混。
根据应用硬编码的RC4密匙,Raccoon对安全通道中的数据开展破译,在其中包括一个指令和操纵(C2)的详细地址。 她们写到:"这一环节并非立即实行就可以开展破译的,所形成的字符串数组在安全通道叙述的开始与结束处会被删掉,随后编码用RC4破译文字以得到C2的详细地址。”
犯罪嫌疑人会应用该工具开展全方位的检索,窃取有價值的文档,从根据网页的信息到数字货币钱夹,都是会应用C2开展盗取。与此同时,这一C2还被用于下载一个用Visual Basic .NET撰写的SilentXMRMiner工具,该工具在运转时还会继续用Crypto Obfuscato开展搞混。
据Sophos称,自2020年10月至今,由Raccoon Stealer交货的第二级有效载荷包含18个恶意程序样版。近期的一个是名叫QuilClipper的对于数字货币买卖开展攻击的恶意程序。
科学研究工作人员写到:"在Virustotal上剖析.Net加载器和clipper相近的样版时,大家看到许多的样版会代管在bbhmnn778[.fun]网站域名上。在调研有关文档并对其文件夹名称开展检索,大家看到了一个宣传策划《Raccoon Stealer》和《QuilClipper》的YouTube频道栏目。"
Raccoon的攻击特性
根据对Raccoon Stealer基础设施建设的科学研究表明,网站域名xsph[.]ru底下60个二级域名,在其中21个近期处在快速增长情况,与此同时发觉该网站域名根据俄国服务器服务提供商SprintHost[.]ru申请注册。
Polat和Gallagher写到:"这一Raccoon Stealer攻击主题活动说明犯罪行为如今早已越来越十分系统化。她们说,危害个人行为者愈来愈多地进行应用付钱服务项目,如推广器即服务项目,来布署Raccoon和恶意程序代管平台。
据Sophos可能,此次Raccoon攻击主题活动背后的犯罪嫌疑人布署恶意程序,盗取cookie和凭据,并在违法犯罪销售市场上销售这种失窃的凭据,盗取使用价值约13200美金的数字货币,并利用受害人的存储资源在六个月内发掘2900美金的数字货币,该违法犯罪公司的运作成本费可能为1250美金。
索福斯写到:"恰好是因为这类成本低的资金投入使这类类别的网络诈骗如此广泛”。
文中翻譯自:https://threatpost.com/raccoon-stealer-google-seo/168301/