《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > Raccoon盜號(hào)者通過使用谷歌搜索引擎?zhèn)鞑阂廛浖?/span>

Raccoon盜號(hào)者通過使用谷歌搜索引擎?zhèn)鞑阂廛浖?

2021-08-21
來源:嘶吼專業(yè)版
關(guān)鍵詞: 谷歌 惡意軟件 Raccoon

  Raccoon Stealer平臺(tái)幕后的犯罪分子已經(jīng)更新了他們的服務(wù),,包括從目標(biāo)計(jì)算機(jī)中盜竊加密貨幣的工具,,以及用于投放惡意軟件和竊取文件的遠(yuǎn)程訪問功能,。

  這個(gè)服務(wù)平臺(tái)的使用者通常是新秀黑客,,該平臺(tái)可以提供偷竊瀏覽器存儲(chǔ)的密碼和認(rèn)證cookies的服務(wù)。根據(jù)Sophos實(shí)驗(yàn)室在周二公布的研究內(nèi)容中,,該平臺(tái)目前已經(jīng)發(fā)布了很多重要的功能更新,,其中包括新的攻擊工具和分發(fā)網(wǎng)絡(luò),同時(shí)也提高了對目標(biāo)攻擊的成功率,。

  首先,,Raccoon Stealer已經(jīng)從基于收件箱的感染方式轉(zhuǎn)向利用谷歌搜索進(jìn)行傳播的感染方式。據(jù)Sophos稱,,攻擊者現(xiàn)在已經(jīng)能夠熟練地對惡意網(wǎng)頁進(jìn)行了優(yōu)化,,使其在谷歌搜索的結(jié)果中排名靠前。在這一攻擊活動(dòng)中,,引誘受害者的誘餌是盜版軟件工具,,如用于 “破解 ”正版收費(fèi)軟件進(jìn)行使用的程序,或用來生成注冊密鑰,、解鎖正版軟件的激活程序,。

  Sophos公司高級(jí)威脅研究人員Yusuf Polat和Sean Gallagher寫道:“雖然這些網(wǎng)站宣稱自己是一個(gè)合法的軟件網(wǎng)站,但提供下載的文件實(shí)際上是一個(gè)偽裝的dropper,。點(diǎn)擊下載鏈接后會(huì)連接到托管在亞馬遜網(wǎng)絡(luò)服務(wù)上的JavaScripts重定向器,,將受害者分流到多個(gè)不同的下載地點(diǎn),提供不同版本的dropper進(jìn)行下載,?!?/p>

  Raccoon更新了新的攻擊方式

  Raccoon Stealer的攻擊方式與其他通過收件箱對個(gè)人的信息竊取的惡意軟件不同,Sophos追蹤發(fā)現(xiàn)攻擊活動(dòng)是通過惡意網(wǎng)站傳播的,。

  研究人員說,,被騙的受害者會(huì)下載一個(gè)包含有效載荷的文檔。該檔案包含另一個(gè)受密碼保護(hù)的文檔和一個(gè)包含密碼的文本文件,,它們會(huì)在感染鏈的后面使用,。包含可執(zhí)行文件的文檔是受密碼保護(hù)的,這樣就可以逃避惡意軟件掃描,。

  該可執(zhí)行文件提供了自解壓安裝程序,。他們有與7zip或Winzip SFX等工具的自解壓檔案相關(guān)的簽名,但不能被這些工具解壓,。索福斯認(rèn)為:“簽名要么是偽造的,,要么文件的標(biāo)題已經(jīng)被投放者處理過,可以防止在沒有執(zhí)行文件的情況下解包,?!?/p>

  Sophos說,,交付給受害者的惡意軟件可能包括加密貨幣挖礦工具、“Clippers”(在交易過程中通過修改受害者的系統(tǒng)剪貼板和改變目標(biāo)錢包來竊取加密貨幣的惡意軟件),、惡意的瀏覽器擴(kuò)展程序,、Djvu/Stop(一種主要針對家庭用戶的勒索軟件)。

  偷竊者使用的基礎(chǔ)設(shè)施

  至于如何管理被感染的系統(tǒng),,Sophos說,,攻擊者使用安全信息平臺(tái)Telegram,并使用RC4加密密鑰對通信進(jìn)一步進(jìn)行了混淆,。

  通過使用硬編碼的RC4密鑰,,Raccoon對通道中的信息進(jìn)行解密,其中包含一個(gè)命令和控制(C2)的地址,。他們寫道:“這個(gè)過程并不是直接執(zhí)行就可以進(jìn)行解密的,,所產(chǎn)生的字符串在通道描述的開始和結(jié)束處會(huì)被刪除,然后代碼用RC4解密文本以獲得C2的地址,?!?/p>

  犯罪分子會(huì)使用該工具進(jìn)行地毯式的搜索,盜取有價(jià)值的文件,,從基于瀏覽器的數(shù)據(jù)到加密貨幣錢包,,都會(huì)使用C2進(jìn)行竊取。同時(shí),,這個(gè)C2還被用來下載一個(gè)用Visual Basic .NET編寫的SilentXMRMiner工具,,該工具在運(yùn)行時(shí)還會(huì)用Crypto Obfuscato進(jìn)行混淆。

  據(jù)Sophos稱,,自2020年10月以來,,由Raccoon Stealer交付的第二級(jí)有效載荷包括18個(gè)惡意軟件樣本。最近的一個(gè)是名為QuilClipper的針對加密貨幣交易進(jìn)行攻擊的惡意軟件,。

  研究人員寫道:“在Virustotal上分析,。Net加載器和clipper類似的樣本時(shí),我們發(fā)現(xiàn)很多的樣本會(huì)托管在bbhmnn778[.fun]域名上,。在調(diào)查相關(guān)文件并對其文件名進(jìn)行搜索,,我們發(fā)現(xiàn)了一個(gè)宣傳《Raccoon Stealer》和《QuilClipper》的YouTube頻道?!?/p>

  Raccoon的攻擊特點(diǎn)

  通過對Raccoon Stealer基礎(chǔ)設(shè)施的研究顯示,,域名xsph[.]ru下有60個(gè)子域名,其中21個(gè)最近處于活躍狀態(tài),,同時(shí)發(fā)現(xiàn)該域名通過俄羅斯主機(jī)提供商SprintHost[.]ru注冊,。

  Polat和Gallagher寫道:“這個(gè)Raccoon Stealer攻擊活動(dòng)表明犯罪活動(dòng)現(xiàn)在已經(jīng)變得非常專業(yè)化。他們說,威脅行為者越來越多地開始使用付費(fèi)服務(wù),,如投放器即服務(wù),,來部署Raccoon和惡意軟件托管平臺(tái)。

  據(jù)Sophos估計(jì),,這次Raccoon攻擊活動(dòng)幕后的犯罪分子部署惡意軟件,,竊取cookie和憑證,并在犯罪市場上出售這些被盜的憑證,,竊取價(jià)值約13200美元的加密貨幣,,并利用受害者的計(jì)算資源在六個(gè)月內(nèi)挖掘2900美元的加密貨幣,,該犯罪企業(yè)的運(yùn)行成本估計(jì)為1250美元,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。