全面分析Raccoon Stealer木马活动（上）

通过dropper-as- service提供的Cookie和证书窃取恶意软件服务现在增加了一个“clipper”来窃取加密交易，并可以释放其他恶意软件。

在过去的一年半里，随着越来越多的组织将他们的大部分工作转移到基于网络的服务上，浏览器存储的密码和认证cookie成为了攻击者的攻击目标，这些攻击者不仅寻求访问受害者的网络银行凭证，而且还寻求更多的访问权限。最近发生在游戏发行巨头EA（艺电）的黑客事件就是窃取信息的恶意软件对企业和个人造成攻击的一个例子。

今年6月，EA（艺电）近日遭到了黑客攻击，窃取了约780GB 的游戏原代码数据，比如《FIFA 21》、支持多个爆款游戏的Frostbite引擎，而且这些数据已在各种地下论坛上被到处兜售。黑客们利用被盗用的Cookie，获得了EA 使用的Slack频道的许可权，并得以进入EA 的Slack。进入EA Slack 的聊天室之后，黑客们便向IT 部gate的其中一位成员发送消息，声称手机丢失，借此成功骗到IT 部gate重新发送给他的EA 内网络登录认证。 黑客透露，他们利用这种简单的“诈骗”方式，成功骗到了两次认证。而在登录EA 内部网络之后，黑客便发现了一个为EA 开发人员编写游戏程序的服务，于是便在上面创建了一个虚拟机，下载了游戏源代码。

最近，研究人员一直在追踪一个特别活跃的攻击活动，攻击者使用“Raccoon Stealer”（一种广泛使用的信息窃取恶意软件）进行的特别活跃的活动。Raccoon Stealer窃密木马首次出现于2019年4月，是暗网中最受关注的10大恶意软件之一，目前已经感染了全球数十万台设备。该木马具有窃取登录凭据、信用卡信息、加密货币钱包和浏览器信息等多种恶意功能。攻击者使用多种手法逃避检测，如使用Telegram作为C2进行通信、利用注册表实现恶意载荷访问等。目前Raccoon Stealer的TTP还在不断迭代，这些技术要么在犯罪市场出售，要么供他们自己使用。

在俄语论坛上介绍Raccoon Stealer的帖子

和许多盗窃程序一样，Raccoon Stealer是作为一种服务被出售的，而不是作为一个独立的恶意软件被出售。至少在过去的两年里，它的开发者们一直在暗网与恶意软件相关的论坛上推销这个“盗窃程序即服务”的恶意程序。由基于Tor 的命令和控制“面板”服务器控制，Raccoon Stealer很像其他基于web的商业服务，它在不断开发中，新功能和漏洞修复定期发布，甚至提供自动更新的恶意软件，已经部署在受感染的设备上。虽然Raccoon Stealer的广告板以俄语为主，但它也用英语做广告，并提供英语支持。

Raccoon Stealer可以收集密码、cookie和网站的“自动填充”文本，包括信用卡数据和其他可能存储在浏览器中的个人识别信息。由于最近的“clipper”更新，Raccoon Stealer窃取程序现在也针对加密货币钱包，并可以检索或删除受感染系统上的文件。

Raccoon Stealer最新升级版的广告海报

还有这个帖子的翻译

Raccoon的开发人员严格控制恶意软件的访问权限，通过基于Tor 的网络面板托管用户部署的任何设备人的访问权限。他们的恶意软件的每个可执行程序都有一个与客户绑定的签名，因此，如果他们的恶意软件样本出现在VirusTotal或其他恶意软件网站上，他们可以追踪到可能泄露它的客户。

信息和密码窃取程序生态系统

信息窃取程序在网络犯罪生态系统中占据了一个重要的位置。它们是各种身份盗窃的组成部分，允许其运营商从被其感染的系统中获取个人身份信息，包括以存储凭证和浏览器cookie的形式窃取登录数据，以控制对基于网络的服务的访问。这些证书经常在犯罪市场上被窃取和出售，允许其他攻击者利用它们来实现自己的犯罪意图。

信息和密码窃取程序是实施犯罪活动的廉价跳板，例如，入gate级的Raccoon Stealer七天订阅费只需75美元。与更复杂的犯罪恶意软件操作(如勒索软件)不同的是，它不需要对买家进行审查——任何人都可以购买它们，不管它们在黑市中的名声如何。像Raccoon Stealer这样的服务允许新生的网络罪犯建立声誉，让他们从更多的独家供应商那里订阅或购买更高级的恶意软件。

除此之外，还可以免费获得一些信息和密码窃取程序的二进制文件和源代码。Azorult 信息和密码窃取程序 builder发布在几个下载网站上，可以在网上找到这些网站。也有一些攻击性的安全工具，如LaZagne，可以被恶意攻击者用于相同的任务——研究人员已经看到Dharma勒索软件的操作人员使用LaZagne。

由于这种容易获取的特性，在研究人员的分析中，信息窃取程序是一个普遍的攻击，并且由大量攻击者操作。这在一定程度上是因为潜在的攻击者很容易就能得到它们，并部署信息和密码窃取程序，并且因为被盗凭据和服务访问非常火爆，使他们很容易快速获利。

一旦部署好，购买、租用或偷窃信息窃取程序的攻击者很容易就能找到窃取数据的市场。对被盗用户凭据的需求不断增加，尤其是提供访问合法服务的凭据，这些服务可用于托管或传播更多恶意软件，无论是通过托管（使用 FTP 或其他服务器凭据）还是传播（使用电子邮件或消息传递应用程序）获取被盗域名和帐户的合法性的好处。与更深层次的网络攻击、勒索软件或对网络银行服务的欺诈性使用相比，这使得信息和密码窃取程序数据获取容易且风险低。

并非所有的信息和密码窃取程序都以这种方式使用，有些是另一种攻击的组成部分，例如，作为一个勒索软件运营商试图在网络内横向移动的一部分，就像Dharma攻击者使用LaZagne。有些恶意软件以针对性的方式使用，以获得访问特定组织的权限，以便部署其他恶意软件。在某些情况下，信息和密码窃取程序内置在另一种形式的恶意软件中，例如远程访问工具。例如，QuasarRAT 在收到来自操作员的远程命令之前不会执行其信息窃取组件。

Trash panda攻击

在有针对性的攻击中，信息和密码窃取程序工具只是更大攻击的一部分，攻击者通过其他方式获得访问权后，手动部署信息和密码窃取程序。但更常见的是，像Raccoon Stealer这样的信息和密码窃取程序会选用两种方式中的一种发起攻击。

最常见的方法是通过垃圾邮件，将其作为压缩的可执行文件或恶意文档释放程序的有效载荷。但攻击者也可能通过恶意网站或p2p共享服务(如Bittorrent)传播恶意软件，伪装成盗版软件。这样攻击程序会自我安装或者可能被一个滴管释放。

最近绝大多数的Raccoon Stealer样本是通过利用恶意网站的单个滴管活动传播的。该攻击背后的攻击者还使用搜索引擎优化来增加寻找特定软件包的人访问恶意站点的几率。在谷歌上搜索“software product name破解”，返回那些声称提供绕过许可要求的软件下载的网站链接。

用谷歌搜索破解版的软件包会返回到盗版软件网站的链接，除非其中一个是恶意软件网站

与该活动相关的网站经过搜索引擎优化，在 Google 和其他网络搜索破解软件的搜索结果中排名靠前，他们还在 YouTube 频道上宣传有关“warez”（盗版软件）的视频。研究人员发现监测技术的样本来自两个域：gsmcracktools.blogspot.com和procrackerz.org。

这个假冒的软件网站是一个WordPress博客，上面满是“破解”软件的清单

虽然这些网站将自己标榜为“破解”合法软件包的存储库，但传播的文件实际上是伪装的 dropper。单击下载链接，该链接连接到托管在 Amazon Web Services 上的一组重定向器 JavaScript，这些 JavaScript 将受害者分流到多个下载地点之一，提供不同版本的droper。

下载的第一阶段有效载荷是一个档案，包含一个受密码保护的档案和一个包含密码的文本文档

包含“设置”可执行文件的存档受密码保护，以逃避恶意软件扫描

密码文件的内容，以ASCII完成

这些密码保护文件夹中的有效载荷是自解压缩安装程序，它们具有与7zip或Winzip SFX等工具的自解压缩存档相关联的签名，但这些工具无法解压缩它们。要么是签名被伪造了，要么是文件的标题被释放程序背后的攻击者操纵了，以防止在没有执行的情况下解包。

在这次活动中，投放者不仅携带了Raccoon Stealer，他们还提供了许多其他恶意软件，有时是在同一个捆绑包中，包括:

加密货币挖矿软件(cryptominer)：与勒索软件和其他恶意软件不同，加密货币挖矿软件(cryptominer)一般是一些合法的软件工具，因此不大容易被反恶意软件产品所检测到；

clipper：通过在攻击过程中修改受害者的系统剪贴板和更改目标钱包来窃取加密货币的恶意软件；

恶意浏览器扩展；

YouTube点击欺诈木马；

Djvu/Stop：一个主要针对家庭用户的勒索软件：

恶意软件的多样性表明，这些投递程序很可能是“作为服务的投递程序”，与使用“Raccoon Stealer”的攻击程序没有直接关系。

使用Telegram进行通信

此活动释放的Raccoon Stealer样本与之前分析的样本不同，因为它们使用 Telegram 渠道进行通信。Telegram用于传递命令和控制网关的地址。

Raccoon Stealer电报频道预览的谷歌缓存

频道预览的实时视图，带有不同的加密频道描述消息。该通道地址经过加密并硬编码到Raccoon窃取程序中，还附带一个与Raccoon“客户”相关的配置ID和一个RC4加密密钥。

这些Raccoon Stealer代码被用于联系Telegram并获取gate地址

使用硬编码的RC4密钥，Raccoon Stealer解密了通道描述中的消息，其中包含一个命令和控制“gate”的地址。这不是一个简单的解密过程，结果字符串的一部分从通道描述的开始部分和结束部分被裁剪掉，然后代码用RC4解密文本以获得C2 gate地址。

如果通信被阻塞，这个机制可以用来在gate之间切换，检索到gate地址后，Raccoon Stealer连接到gate以与C2通信。

Raccoon StealerC2流量汇总，从Telegram连接开始

从Raccoon Stealer上传到C2“gate”

Raccoon Stealer发送到gate的第一个 HTTP POST 包含一个 base64 编码的“params”字段。这包括窃取程序的唯一标识符 (bot_id) 和之前解密的配置 ID。 C2 gate使用包含窃取程序配置信息的 JSON 对象进行响应。

由 C2 发送的Raccoon Stealer配置数据包括目标的位置数据

配置包含检索所需的Raccoon stealer库文件的链接(在某些情况下，还包括额外的载荷)，在研究人员分析的样本中，辅助的有效载荷是一个加密货币挖矿程序。

Trash panda可以盗窃用户的信息

Raccoon Stealer从受害设备收集数据后，将它们归档成一个包，然后上传到C2。该档案包含受害者桌面的截图(screen.jpg)，收集的系统信息(system Info.txt)，以及从浏览器、电子邮件客户端、加密货币钱包窃取的数据，以及它可以找到的任何数据。

System Info.txt格式如下:

一个由Raccoon Stealer发回System Info.txt 内容示例

一旦收集完毕，归档文件将作为HTTP帖子上传到gate。