Raccoon Stealer bekommt ein Update, verbreitet zusätzliche Malware

Raccoon Stealer ist der Name einer Kryptowährungs-Stealer-Malware und einer Plattform, die von den Betreibern von Raccoon nach einem Malware-as-a-Service-Modell betrieben wird. Die Malware hat gerade ein neues Update erhalten, das Sicherheitsforscher in Zusammenarbeit mit Sophos auseinander genommen und eine Analyse ihrer Erkenntnisse veröffentlicht haben.

Racoon Stealer wird hauptsächlich auf unterirdischen russischen Hacking-Websites verkauft und ist als schnelle und einfache Lösung für angehende Hacker gedacht, die ihre eigene Malware nicht wirklich von Grund auf programmieren können und bereit sind, für die Nutzung eines bestehenden Produkts zu zahlen. Das neueste Update hat einige Dinge an der Malware geändert, wie von Sophos beschrieben.

Es scheint, dass Raccoon Stealer sich langsam von der Verbreitung durch bösartige E-Mails wegbewegt und allmählich versucht, auf den Suchergebnisseiten von Google Fuß zu fassen, wenn die Suchanfrage geknackte oder raubkopierte Software betrifft. Dies ist nicht das erste Mal, dass Malware huckepack in gefälschten bezahlten Software-Cracks gefunden wird, aber es zeigt einen erheblichen Aufwand der Entwickler von Raccoon, ihre bösartigen Seiten ausreichend zu optimieren, damit sie bei Google-Suchen ähnlich wie "Cracked X" einen so hohen Rang einnehmen. oder "Y keygen".

Sobald die gefälschte geknackte Datei heruntergeladen wurde, führen die Opfer wirklich einen Dropper aus. Während des Infektionsprozesses holen die darin enthaltenen Dropper und ausführbaren Dateien selbstextrahierende Archivdateien. Sophos stellte fest, dass diese anscheinend Signaturen von Tools wie 7zip oder WinZip haben, aber die Header der Dateien wurden geändert oder die Signaturen wurden irgendwie gefälscht, da diese Archivierungstools die schädlichen Archive überhaupt nicht öffnen oder extrahieren können.

Die verschiedenen Arten von ultimativer Nutzlast, die der Raccoon Stealer-Dropper liefern kann, variieren und umfassen Cryptominer-Malware, Cryptostealer, die Clipboard-Strings überwachen und gefundene Wallet-Strings durch die der Hacker ersetzen, sowie bösartige Browsererweiterungen.

Der Clipboard-Clipper, der leise Wallet-Strings auswechselt und alle Transaktionen des Opfers effektiv an die Wallet des Hackers umleitet, ist eine weitere Neuheit im Toolkit von Raccoon Stealer. Sohos nennt das neue Clipper-Modul in Raccoon "QuilClipper".

Raccoon Stealer verwendet auch eine beträchtliche Verschleierung, wenn es darum geht, Daten von infizierten Systemen zu senden und zu empfangen.