Raccoon盗号者通过使用谷歌搜索引擎传播恶意软件-低调大师

Raccoon盗号者通过使用谷歌搜索引擎传播恶意软件

2021-08-22 857

Raccoon Stealer平台幕后的犯罪分子已经更新了他们的服务，包括从目标计算机中盗窃加密货币的工具，以及用于投放恶意软件和窃取文件的远程访问功能。

这个服务平台的使用者通常是新秀黑客，该平台可以提供偷窃浏览器存储的密码和认证cookies的服务。根据Sophos实验室在周二公布的研究内容中，该平台目前已经发布了很多重要的功能更新，其中包括新的攻击工具和分发网络，同时也提高了对目标攻击的成功率。

首先，Raccoon Stealer已经从基于收件箱的感染方式转向利用谷歌搜索进行传播的感染方式。据Sophos称，攻击者现在已经能够熟练地对恶意网页进行了优化，使其在谷歌搜索的结果中排名靠前。在这一攻击活动中，引诱受害者的诱饵是盗版软件工具，如用于 "破解 "正版收费软件进行使用的程序，或用来生成注册密钥、解锁正版软件的激活程序。

Sophos公司高级威胁研究人员Yusuf Polat和Sean Gallagher写道:"虽然这些网站宣称自己是一个合法的软件网站，但提供下载的文件实际上是一个伪装的dropper。点击下载链接后会连接到托管在亚马逊网络服务上的JavaScripts重定向器，将受害者分流到多个不同的下载地点，提供不同版本的dropper进行下载。"

Raccoon更新了新的攻击方式

Raccoon Stealer的攻击方式与其他通过收件箱对个人的信息窃取的恶意软件不同，Sophos追踪发现攻击活动是通过恶意网站传播的。

研究人员说，被骗的受害者会下载一个包含有效载荷的文档。该档案包含另一个受密码保护的文档和一个包含密码的文本文件，它们会在感染链的后面使用。包含可执行文件的文档是受密码保护的，这样就可以逃避恶意软件扫描。

该可执行文件提供了自解压安装程序。他们有与7zip或Winzip SFX等工具的自解压档案相关的签名，但不能被这些工具解压。索福斯认为："签名要么是伪造的，要么文件的标题已经被投放者处理过，可以防止在没有执行文件的情况下解包。”

Sophos说，交付给受害者的恶意软件可能包括加密货币挖矿工具、"Clippers"(在交易过程中通过修改受害者的系统剪贴板和改变目标钱包来窃取加密货币的恶意软件)、恶意的浏览器扩展程序、Djvu/Stop(一种主要针对家庭用户的勒索软件)。

偷窃者使用的基础设施

至于如何管理被感染的系统，Sophos说，攻击者使用安全信息平台Telegram，并使用RC4加密密钥对通信进一步进行了混淆。

通过使用硬编码的RC4密钥，Raccoon对通道中的信息进行解密，其中包含一个命令和控制(C2)的地址。他们写道："这个过程并不是直接执行就可以进行解密的，所产生的字符串在通道描述的开始和结束处会被删除，然后代码用RC4解密文本以获得C2的地址。”

犯罪分子会使用该工具进行地毯式的搜索，盗取有价值的文件，从基于浏览器的数据到加密货币钱包，都会使用C2进行窃取。同时，这个C2还被用来下载一个用Visual Basic .NET编写的SilentXMRMiner工具，该工具在运行时还会用Crypto Obfuscato进行混淆。

据Sophos称，自2020年10月以来，由Raccoon Stealer交付的第二级有效载荷包括18个恶意软件样本。最近的一个是名为QuilClipper的针对加密货币交易进行攻击的恶意软件。

研究人员写道："在Virustotal上分析.Net加载器和clipper类似的样本时，我们发现很多的样本会托管在bbhmnn778[.fun]域名上。在调查相关文件并对其文件名进行搜索，我们发现了一个宣传《Raccoon Stealer》和《QuilClipper》的YouTube频道。"

Raccoon的攻击特点

通过对Raccoon Stealer基础设施的研究显示，域名xsph[.]ru下有60个子域名，其中21个最近处于活跃状态，同时发现该域名通过俄罗斯主机提供商SprintHost[.]ru注册。

Polat和Gallagher写道："这个Raccoon Stealer攻击活动表明犯罪活动现在已经变得非常专业化。他们说，威胁行为者越来越多地开始使用付费服务，如投放器即服务，来部署Raccoon和恶意软件托管平台。

据Sophos估计，这次Raccoon攻击活动幕后的犯罪分子部署恶意软件，窃取cookie和凭证，并在犯罪市场上出售这些被盗的凭证，窃取价值约13200美元的加密货币，并利用受害者的计算资源在六个月内挖掘2900美元的加密货币，该犯罪企业的运行成本估计为1250美元。

索福斯写道："正是由于这种低成本的投入使这种类型的网络犯罪如此普遍”。

本文翻译自：https://threatpost.com/raccoon-stealer-google-seo/168301/

鸿蒙官方战略合作共建――HarmonyOS技术社区

【责任编辑：赵宁宁 TEL：（010）68476606】

微信关注我们

原文链接：http://netsecurity.51cto.com/art/202108/678813.htm

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

2021年第二季度网络攻击回顾

更有有针对性的攻击与Cycldek有关的攻击卡巴斯基实验室的研究人员4月份发现了一个名为“FoundCore”的文件，该恶意软件样本是在针对位于越南的知名组织的攻击中发现的，经过分析，它的攻击功能相较于“DLL侧加载三步法”有了很大的改进，所谓的“DLL侧加载三步法”就是合法的可执行文件、由它侧加载的恶意 DLL 和编码的有效载荷，通常在自解压文件中自行执行删除程序。在这个示例中，shellcode被严重混淆了。研究人员发现这个文件的加载程序非常有趣，所以研究人员决定将研究人员的目标恶意软件逆向工程课程的一个轨道基于它。最终的有效载荷是一个远程管理工具，它可以让操作员实现对受害计算机的完全控制。与服务器的通信可以通过使用 RC4 加密的原始 TCP 套接字或通过 HTTPS 进行。在研究人员发现的绝大多数攻击示例中，FoundCore 执行之前都会打开从 static.phongay[.]com 下载的恶意 RTF 文件，所有这些文件都是使用 RoyalRoad 生成的，并试图利用 CVE-2018-0802。所有这些文件都是空白的，这表明存在着前置文件(可能是通过鱼叉式网络...

2021-08-22

720

本周的 KDE Plasma 开发进展已经发布，其中值得关注的一点是基于 QML 的新概览效果已合并。目前，该概览效果会向用户显示所有打开的窗口，就像现有的 “当前窗口” 效果一样，并且不会使非活动窗口变暗。不过，这并不是最终的视觉效果，该功能仍处于开发的后期阶段，最终将取代现有的 Windows 效果和桌面网格效果，并统一为 Windows 的全屏概览，类似于 macOS 的任务控制覆盖。预计该功能将在 Plasma 5.23 中发布。另外一个新功能是用户现在可以在登录时选择蓝牙适配器的状态：开机、关机或记住上次系统重新启动时的状态。其中记住上次系统重新启动时的状态是默认选择。此外，文中还列出了一些其它的 bug 修复和优化，包括： Spectacle 会使用小数比例因子(例如 125%)在 Plasma Wayland 会话中以正确的分辨率截取屏幕截图修复了如何在 GTK CSD 标题栏窗口中呈现 Breeze 主题窗口装饰按钮的回归当 IPv6 被禁用时，系统监视器不再无法显示 IPv4 地址信息修复了 Wayland 上锁屏可能被破坏的问题在 Plasma Way...

2021-08-22

666

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。