Raccoon黑客利用谷歌搜索引擎传播恶意软件访问功能。菜鸟黑客经常使用此服务,它能够窃取浏览器存储的密码和身份验证cookie。根据SophosLabs周二发布的研究内容,该平台发布了许多重要的功能更新,包括新的攻击工具和分发网络,同时还提高了针对性攻击的成功率。首先,RaccoonStealer已经从基于收件箱的感染转变为基于谷歌搜索的感染。根据Sophos的说法,攻击者现在已经擅长优化恶意网页,以便在Google搜索结果中排名靠前。在这种攻击中,诱骗受害者的诱饵是盗版软件工具,比如用于“破解”正版付费软件供使用的程序,或者用于生成注册码解锁正版软件的激活程序。Sophos高级威胁研究人员YusufPolat和SeanGallagher写道:“虽然这些网站声称是合法的软件站点,但提供下载的文件实际上是伪装的植入程序。单击下载链接会将您连接到托管在亚马逊上的网站。”网络服务上的JavaScripts重定向器将受害者转移到多个不同的下载位置,并提供不同版本的dropper供下载。”Raccoon更新了一种新的攻击方式。RaccoonStealer的攻击方式类似于其他通过收件箱对个人进行的攻击,不像其他信息——窃取恶意软件,Sophos跟踪该活动通过恶意网站传播。研究人员说,欺诈受害者下载包含有效负载的文档。该存档包含另一个受密码保护的文档和一个包含密码的文本文件,这些文件稍后会在感染链中使用。包含可执行文件的文档受密码保护,因此它们可以逃避恶意软件的攻击罐头。该可执行文件提供了一个自解压安装程序。它们具有与使用7zip或WinzipSFX等工具的自解压存档相关联的签名,但无法通过这些工具解压缩。Sophos争辩说:“签名要么是伪造的,要么文件的标头已被释放程序操纵,以防止在不执行文件的情况下解包。”交付给受害者的恶意软件可能包括加密货币挖掘工具、“Clippers”(通过修改受害者的系统剪贴板和更改目标钱包在交易期间窃取加密货币的恶意软件)、恶意浏览器扩展、Djvu/Stop(主要针对家庭用户的勒索软件).窃贼使用的基础设施至于如何管理受感染的系统,Sophos表示攻击者使用了安全消息平台Telegram并使用RC4对其进行了加密。密钥进一步混淆了通信。Raccoon使用硬编码的RC4密钥解密通道中的消息,其中包含命令和控制(C2)地址。“这个过程不能直接执行,”他们写道。解密是可能的,结果字符串在通道描述的开头和结尾被剥离,然后代码用RC4解密文本以获得C2的地址。“犯罪分子将使用此工具进行全面搜索并窃取有价值的文件,从基于浏览器的数据到加密货币钱包,使用C2进行窃取。同时,此C2还用于下载用VisualBasic编写的程序。SilentXMRMiner用.NET编写的工具,运行时也会使用CryptoObfuscato进行混淆。根据Sophos的说法,RaccoonStealer自2020年10月以来提供的二级有效载荷包括18个恶意软件样本。最近的一个是名为QuilClipper的恶意软件,它针对加密货币交易所研究人员在该域名上写道:“在Virustotal上分析.Net加载程序和类似clipper的样本时,我们发现许多样本托管在bbhmnn778[.fun]上。”调查相关文档并搜索其文件名,我们发现一个宣传《Raccoon Stealer》和《QuilClipper》的YouTube频道。“Raccoon的攻击特征通过对RaccoonStealer基础设施的研究,发现该域名下有60个子域xsph[.]ru,其中21个最近处于活跃状态,而且还发现该域名是通过俄罗斯托管服务提供商SprintHost[.]ru注册的加拉格尔写道。他们说,威胁行为者越来越多地使用付费服务(例如投放器即服务)来部署Raccoon和恶意软件托管平台。Sophos估计Raccoon攻击背后的犯罪分子部署了恶意软件来窃取cookie和凭据,并在犯罪市场上出售这些被盗凭据,窃取了价值约13,200美元的加密货币并利用受害者的计算资源在六个月内开采了2,900美元的加密货币,犯罪企业为此付出了代价估计运行1,250美元。Sophos写道:“正是这种低成本投资使这种类型的网络犯罪如此普遍。”本文翻译自:https://threatpost.com/raccoon-stealer-google-seo/168301/
