Raccoon Stealerがアップデートを取得し、追加のマルウェアを伝播します
Raccoon Stealerは、暗号通貨スティーラーマルウェアの名前であり、Raccoonを実行している人々によってサービスとしてのマルウェアモデルで動作するプラットフォームです。このマルウェアは新しいアップデートを受け取ったばかりで、ソフォスと協力しているセキュリティ研究者がそれを選び出し、調査結果の分析を公開しました。
Racoon Stealerは、主にロシアの地下ハッキングWebサイトで販売されており、独自のマルウェアをゼロからコーディングすることができず、既存の製品を使用するためにお金を払っても構わないと思っている意欲的なハッカーのための迅速で簡単なソリューションとして意図されています。最新のアップデートでは、ソフォスが概説しているように、マルウェアに関する多くの点が変更されています。
Raccoon Stealerは、検索クエリがクラックされたソフトウェアや海賊版ソフトウェアに関係している場合、悪意のある電子メールによる伝播から徐々に移行し、Googleの検索結果ページで徐々に勢いを増そうとしているようです。マルウェアが偽の有料ソフトウェアクラックに便乗しているのが見つかったのはこれが初めてではありませんが、悪意のあるページを十分に最適化して「クラックされたX」と同様にGoogle検索でこれを上位にランク付けするために、Raccoonの開発者の一部にかなりの努力が払われていることを示しています。または「Ykeygen」。
偽のクラックされたファイルがダウンロードされると、被害者は実際にスポイトを実行します。感染プロセス中に、ドロッパーとそれに含まれる実行可能ファイルは、自己解凍型のアーカイブファイルをフェッチします。ソフォスは、7zipやWinZipなどのツールに由来する署名があるように見えましたが、これらのアーカイブツールは悪意のあるアーカイブをまったく開いたり抽出したりできないため、ファイルのヘッダーが変更されているか、署名が何らかの形で改ざんされていることを発見しました。
Raccoon Stealerドロッパーが配信できる最終的なペイロードの種類はさまざまで、クリプトマイナーマルウェア、クリップボードの文字列を監視し、見つかったウォレットの文字列をハッカーのウォレット文字列に置き換える暗号スティーラー、悪意のあるブラウザー拡張機能などがあります。
ウォレットの文字列を静かに交換し、被害者が行ったトランザクションをハッカーのウォレットに効果的にリダイレクトするクリップボードクリッパーは、RaccoonStealerのツールキットに新たに追加されたものです。 Sohosは、Raccoonの新しいクリッパーモジュールを「QuilClipper」と呼んでいます。
Raccoon Stealerは、感染したシステムとの間でデータを送受信する際にも、かなりの量の難読化を使用します。