Raccoon Stealer 獲得更新,傳播更多惡意軟件
Raccoon Stealer 是一種加密貨幣竊取惡意軟件的名稱,也是一個由運行 Raccoon 的人員在惡意軟件即服務模型上運行的平台。該惡意軟件剛剛收到一個新的更新,與 Sophos 合作的安全研究人員將其挑選出來並發布了對他們發現的分析。
Racoon Stealer 主要在俄羅斯地下黑客網站上銷售,旨在為那些無法真正從頭開始編寫自己的惡意軟件並願意付費使用現有產品的有抱負的黑客提供快速簡便的解決方案。正如 Sophos 所概述的那樣,最新的更新已經改變了有關該惡意軟件的許多內容。
當搜索查詢涉及破解或盜版軟件時,Raccoon Stealer 似乎正在慢慢地從通過惡意電子郵件的傳播轉向逐漸嘗試在 Google 搜索結果頁面中獲得牽引力。這不是第一次在虛假付費軟件破解中發現惡意軟件,但這表明 Raccoon 的部分開發人員付出了相當大的努力來充分優化他們的惡意頁面,因此他們在類似於“破解 X”的谷歌搜索中排名如此之高或“Y 密鑰生成器”。
一旦下載了偽造的破解文件,受害者就會真正執行一個dropper。在感染過程中,其中包含的投放程序和可執行文件會獲取自解壓存檔文件。 Sophos 發現這些文件的簽名似乎來自 7zip 或 WinZip 等工具,但文件的標題已被修改或簽名以某種方式被偽造,因為這些存檔工具根本無法打開或提取惡意存檔。
Raccoon Stealer dropper 可以提供的不同類型的最終有效負載各不相同,包括加密礦工惡意軟件、監控剪貼板字符串並用黑客的錢包字符串替換找到的錢包字符串的加密竊取程序,以及惡意瀏覽器擴展。
剪貼板剪輯器可以悄悄地交換錢包字符串並有效地將受害者進行的任何交易重定向到黑客的錢包,這是 Raccoon Stealer 工具包的另一個新增功能。 Sohos 將 Raccoon 中的新剪刀模塊稱為“QuilClipper”。
在從任何受感染的系統發送和接收數據時,Raccoon Stealer 還使用了大量的混淆處理。