引言
简况
目前,Raccoon Stealer 已从基于收件箱的感染转向利用 Google 搜索的感染。攻击者已经掌握了针对 Google 搜索结果优化恶意 页的方法。在此活动中,引诱受害者的诱饵是软件盗版工具,例如破解版软件或生成注册密钥以解锁许可软件的“keygen”密钥生成器程序。在 Google 上搜索破解版软件包,则会出现指向盗版软件站点的链接,如下图:
虽然这些 站将自己标榜为‘破解’合法软件包的存储库,但所提供的文件实际上是伪装的释放器。单击指向连接到 Amazon Web Services 上托管的一组重定向器 JavaScript 的下载链接,将受害者分流到多个下载位置中的一个,提供不同版本的投放器。
传送给受害者的恶意软件可能包括:
1.加密矿工
2.“Clippers”(窃取加密货币的恶意软件)
3.恶意浏览器扩展程序
4.YouTube click诈骗机器人
5.Djvu/Stop(针对家庭用户的勒索软件)
6.Stealer-as-a-Service 平台的基础设施
攻击者使用Telegram平台,利用 RC4 加密密钥进一步混淆通信,以掩盖与 Raccoon“客户”相关的配置 ID。Raccoon使用硬编码的 RC4 密钥解密C2 ‘门’ 的地址。对 Raccoon Stealer 基础设施的研究显示,域 xsph[.]ru 下有 60 个子域,其中 21 个最近活跃并通过俄罗斯托管服务提供商 SprintHost[.]ru 注册。
结语
Raccoon 活动背后的犯罪分子能够部署恶意软件、窃取 cookie 和凭据,并在犯罪市场上出售这些被盗凭据。自 2020 年 10 月以来,Raccoon Stealer 的有效载荷已经分发了 18 个不同的恶意软件版本,窃取了价值约 13,200 美元的比特币,经营非法企业的成本约为 1,250 美元。
PS:每日更新整理国内外威胁情 快讯,帮助威胁研究人员了解及时跟踪相关威胁事件
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!