近日,网络平台Zscaler安全专家发布了对RaccoonStealer恶意软件新变种的分析。根据研究,该恶意软件的新变种是用C语言编写的,与以前主要用C++编写的版本不同,RaccoonStealer2.0具有新的后端和前端,以及更有效地窃取凭据和其他数据的代码。新版本的恶意软件还可以在32位和64位系统上运行,没有任何额外的依赖项,而是直接从其C2服务器获取8个合法的DLL(而不是依赖于TelegramBotAPI)。C2还负责恶意软件的配置,包括目标应用程序、托管dll的URL以及用于数据导出的令牌。服务器然后接收机器指纹数据并等待包含被盗信息的单个POST请求。RaccoonStealer2.0窃取的数据类型包括系统指纹、浏览器密码、cookie、自动填充数据和保存的信用卡、加密货币钱包、位于所有磁盘上的文件、屏幕截图和已安装应用程序列表。Zscaler还表示,“我们还看到了RaccoonStealerv2的一个变化,通过使用一种机制来动态解析API名称而不是静态加载来隐藏其意图。”据报道,在俄罗斯入侵乌克兰期间,恶意软件的主要开发者之一在他不幸去世后,RaccoonStealer业务于2022年3月短暂关闭。然而,根据Sekoia安全分析师的分析,该团队随后在暗网论坛上写道RaccoonStealer即将回归,并暗示RaccoonStealer已于5月开发。Zscaler说:“RaccoonStealer作为一种恶意软件即服务,在过去几年变得流行起来,并且已经观察到多起RaccoonStealer恶意软件事件。恶意软件的作者不断向恶意软件添加新功能。这是该恶意软件继2019年首次发布后的第二个主要版本。这表明该恶意软件很可能会进化并继续对组织构成威胁。”
