火绒盾拦截工具(暗网售价200美元的RACCOON间谍软件有多厉害)

火绒盾拦截工具(暗网售价200美元的RACCOON间谍软件有多厉害)(1)

“浣熊(RACCOON)”,于今年新出现的一种间谍软件(infostealer),尽管在功能并不复杂和新颖,但的确已经感染了全球10万多台计算机,甚至被网络安全公司Cybereason认为是2019年暗网交易市场十大最热门的恶意软件之一。

火绒盾拦截工具(暗网售价200美元的RACCOON间谍软件有多厉害)(2)

图1.2019暗网交易市场十大最热门恶意软件(来源:Recorded Future )

Cybereason表示,RACCOON到目前为止已经建立起了一支强大的追随者群体,这来源它被作为恶意软件即服务(MaaS)提供,与之相关的广告宣传随处可见。

RACCOON是一种什么病毒?

RACCOON,也被称为“ Mohazo”或“ Racealer”,它的核心组件是一个简单的信息窃取程序,通常出现在Fallout和RIG漏洞利用工具包中。

Raccoon是采用c 编写的,能够在32位和64位操作系统上运行,可用于窃取信用卡信息、加密货币钱包,以及与浏览器和电子邮件客户端等相关的数据,具体如下:

  • 信用卡信息
  • 加密货币钱包
  • 密码
  • 电子邮件
  • 来自几乎所有主流浏览器的数据,包括信用卡信息、URL、用户名和密码等
  • Cookie
  • 系统信息
谁是RACCOON的开发者?

RACCOON的开发者被认为是一个母语是俄语的团队,因为有关它的广告最初仅出现在俄语黑客论坛上。具体来说,自今年4月份以来,它的开发团队就一直在积极地开展广告宣传活动。

火绒盾拦截工具(暗网售价200美元的RACCOON间谍软件有多厉害)(3)

图2.俄语黑客论坛上的RACCOON广告

如上所述,RACCOON以恶意软件即服务(MaaS)的形式出售,且具有易于使用的后端控制面板,目前的售价为每月200美元。

RACCOON如何感染目标计算机?

Cybereason公司表示,RACCOON的传播方式有很多种,最常见的是漏洞利用工具包、网络钓鱼电子邮件以及与恶意软件捆绑在一起。

漏洞利用工具包

一旦用户访问了恶意页面,就会被重定向到包含漏洞利用代码的登录页面,进而导致计算机感染RACCOON。

具体来讲,漏洞利用工具包首先会在浏览器中生成一个PowerShell实例,然后下载RACCOON。

火绒盾拦截工具(暗网售价200美元的RACCOON间谍软件有多厉害)(4)

图3. 借助Fallout漏洞利用工具包传播RACCOON

网络钓鱼电子邮件

钓鱼电子邮件所携带的附件通常是一份Ofiice文档,一旦打开,内嵌的恶意宏代码就会执行。

恶意宏代码执行后,首先会创建于恶意域的链接,然后下载RACCOON。

火绒盾拦截工具(暗网售价200美元的RACCOON间谍软件有多厉害)(5)

图4. 借助网络钓鱼电子邮件传播RACCOON

与恶意软件捆绑在一起

恶意软件通常伪装成合法软件,下载并安装这样的软件,也就会导致RACCOON同时被安装。

RACCOON的核心功能分析

收集受感染计算机的本地设置

火绒盾拦截工具(暗网售价200美元的RACCOON间谍软件有多厉害)(6)

图5. RACCOON用于检查受感染计算机本地设置的代码

值得一提的是,RACCOON在检查受感染计算机的本地设置时,会将其与硬编码的语言列表进行对比,如果受感染计算机的语言设置是俄语、乌克兰语、白俄罗斯语、哈萨克语、吉尔吉斯语、亚美尼亚语、塔吉克语或乌兹别克语,那么它则会立即停止运行。

收集用户敏感信息

RACCOON能够使用多种方法来收集用户敏感信息,具体如下:

1.屏幕截图

火绒盾拦截工具(暗网售价200美元的RACCOON间谍软件有多厉害)(7)

图6. RACCOON用于进行屏幕截图的代码

为了实现屏幕截图功能,Raccoon会使用到GetDesktopWindow和CreateCompatibleBitmap,并将截图命名为“screen.jpeg”存储到Temp文件夹中。

2.窃取系统信息

Raccoon还会搜集受感染计算机的系统信息,包括用户名、IP地址、语言设置、操作系统版本,以及有关已安装应用程序和CPU、内存等的信息。这些信息将被存储到位于如下位置的文本文件中:

C:\Users\[用户名]\AppData\Local\Temp\machineinfo.txt

火绒盾拦截工具(暗网售价200美元的RACCOON间谍软件有多厉害)(8)

图7.Raccoon收集的信息

窃取浏览器信息

众所周知,许多保存到浏览器的数据都存储在本地计算机上的SQLite数据库文件中。例如,当用户在浏览器中保存其用户名和密码时,浏览器就会将数据存储在Login Data SQLite数据库文件中。

此外,浏览器还会将cookie信息存储在cookie文件中,并将其他自动填充数据(如信用卡信息)存储在Web Data文件中。

Raccoon能够从30多款不同的浏览器中窃取这些信息,具体如下:

  • Chrome
  • Amigo
  • RockMelt
  • Sputnik
  • Chromium
  • Orbitum
  • 360Browser
  • Kometa
  • Xpom
  • Bromium
  • Vivaldi
  • uCozMedia
  • Comodo
  • Nichrome
  • Opera
  • QIP Surf
  • Epic Privacy Browser
  • CocCoc
  • Suhba
  • Chedot
  • CentBrowser
  • Elements Browser
  • Safer Technologies - Secure Browser
  • Superbird
  • 7Star
  • TorBro
  • Rafotech - Mustang
  • Torch
  • Firefox
  • WaterFox
  • SeaMonkey
  • Pale Moon
  • GO!

火绒盾拦截工具(暗网售价200美元的RACCOON间谍软件有多厉害)(9)

图8.Raccoon用于窃取浏览器数据文件的代码

在窃取到这些文件后,Raccoon会对它们随机命名,然后复制到Temp文件夹中。

随后,它将使用从其C2服务器下载的DLLSQLite3.dll来解析文件并提取敏感数据。被窃取的信息将被分为多个文本文件,并被保存在“Temp/browsers”文件夹下。

此外,Raccoon还会创建了一个名为“passwords.txt”的文件,用于保存从受感染计算机上窃取的所有密码。

火绒盾拦截工具(暗网售价200美元的RACCOON间谍软件有多厉害)(10)

图9. passwords.txt示例,其中包含Raccoon窃取的密码

窃取Outlook帐户

火绒盾拦截工具(暗网售价200美元的RACCOON间谍软件有多厉害)(11)

图10.Raccoon用于提取有关Microsoft Outlook帐的信息的代码

Raccoon能够从受感染计算机上的注册表项中提取有关Microsoft Outlook帐户的信息,具体注册表项如下:

  • HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook

另外,Raccoon还会在Windows注册表中搜索存储在电子邮件客户端中的敏感信息,如用户名和密码,然后将其保存到“Temp/mails”文件夹下的文本文件中。

火绒盾拦截工具(暗网售价200美元的RACCOON间谍软件有多厉害)(12)

图11.Raccoon用于从电子邮件客户端收集账户信息的代码

窃取加密货币钱包

Raccoon会在受感染计算机上搜索多款加密货币钱包,具体如下:

  • C:\Users\<user>\AppData\Roaming\Electrum\wallets
  • C:\Users\<user>\AppData\Roaming\Jaxx\Local Storage
  • C:\Users\<user>\AppData\Roaming\Exodus\exodus.wallet
  • C:\Users\<user>\AppData\Roaming\Ethereum Wallet

只要找到任何一款,它就会将其保存到Temp文件夹下,然后进行自动处理。

数据上传和自我删除

在收集到所有数据之后,Raccoon会将它们打包成一个zip压缩文件(gate.zip),然后上传到C2服务器。

火绒盾拦截工具(暗网售价200美元的RACCOON间谍软件有多厉害)(13)

图12. gate.zip所包含的内容

在数据上传完成之后,Raccoon会从受感染计算机中删除其二进制文件——使用ping.exe生成cmd.exe并执行delete命令。

火绒盾拦截工具(暗网售价200美元的RACCOON间谍软件有多厉害)(14)

图13.Raccoon创建的恶意进程旨在清除任何可能的痕迹

结论

尽管Raccoon可能并不是暗网交易市场上最具创新性的间谍软件,但它仍对大量不法分子产生了巨大的吸引力,这主要来源于其开发团队铺天盖地的广告,以及给网络犯罪提供的便利。

Raccoon受到热捧的这一事件说明,恶意软件的开发者想要获取非法收益,甚至都不用直接参与犯罪,只需搭建一个平台就足以实现。而另一方面,不法分子想要实施网络犯罪,甚至都不需要掌握太多的技术,仅仅花上几百美元就可以完成这一切。

近年来,尽管多个国家有关当局都针对暗网交易市场加大了打击力度。但事实证明,这条路似乎还十分漫长。

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页