Raccoon Stealer 获得更新,传播更多恶意软件
Raccoon Stealer 是一种加密货币窃取恶意软件的名称,也是一个由运行 Raccoon 的人员在恶意软件即服务模型上运行的平台。该恶意软件刚刚收到一个新的更新,与 Sophos 合作的安全研究人员将其挑选出来并发布了对他们发现的分析。
Racoon Stealer 主要在俄罗斯地下黑客网站上销售,旨在为那些无法真正从头开始编写自己的恶意软件并愿意付费使用现有产品的有抱负的黑客提供快速简便的解决方案。正如 Sophos 所概述的那样,最新的更新改变了该恶意软件的许多方面。
当搜索查询涉及破解或盗版软件时,Raccoon Stealer 似乎正在慢慢地从通过恶意电子邮件的传播转向逐渐尝试在 Google 搜索结果页面中获得牵引力。这不是第一次在虚假付费软件破解中发现恶意软件,但这表明 Raccoon 的部分开发人员付出了相当大的努力来充分优化他们的恶意页面,因此他们在类似于“破解 X”的谷歌搜索中排名如此之高或“Y 密钥生成器”。
一旦下载了伪造的破解文件,受害者就会真正执行一个dropper。在感染过程中,其中包含的投放程序和可执行文件会获取自解压存档文件。 Sophos 发现这些文件的签名似乎来自 7zip 或 WinZip 等工具,但文件的标题已被修改或签名以某种方式被伪造,因为这些存档工具根本无法打开或提取恶意存档。
Raccoon Stealer dropper 可以提供的不同类型的最终有效负载各不相同,包括加密矿工恶意软件、监控剪贴板字符串并用黑客的钱包字符串替换找到的钱包字符串的加密窃取程序,以及恶意浏览器扩展。
剪贴板剪辑器可以悄悄地交换钱包字符串并有效地将受害者进行的任何交易重定向到黑客的钱包,这是 Raccoon Stealer 工具包的另一个新增功能。 Sohos 将 Raccoon 中的新剪刀模块称为“QuilClipper”。
在从任何受感染的系统发送和接收数据时,Raccoon Stealer 还使用了大量的混淆处理。