几年前首次出现的凭证窃取组织现在滥用Telegram作为C2服务器进行网络攻击。研究人员报告称,一系列网络犯罪分子通过使用此类更具创造性的攻击媒介继续扩大攻击面。根据AvastThreatLabs本周发布的一篇博客文章,RaccoonStealer于2019年4月首次出现在网上,它已经开始在Telegram的基础设施上存储和更新自己的C2地址。研究人员表示,这为他们在平台上提供了一个更方便、更可靠的指挥中心,以保持C2的更新。据说该恶意软件是由与俄罗斯有关的网络犯罪分子开发和维护的。它的核心工具是凭证窃取程序,但该工具能够进行一系列攻击。它不仅可以窃取密码,还可以窃取cookie、浏览器中保存的登录和表单数据、电子邮件客户端和登录凭据、加密钱包中的文件、浏览器插件和扩展程序中的数据以及任意文件。这一切都可以通过其C2命令来完成。AvastThreatLabs研究员VladimirMartyanov在他的帖子中写道,它能够通过C2的命令下载和执行任意文件。这使得RaccoonStealer更加危险。在2019年发布后,网络犯罪分子迅速开始采用该恶意软件,这要归功于其用户友好的恶意软件即服务(MaaS)模型,这使他们能够通过窃取敏感数据更快、更轻松地赚钱。创造性的传播方法早期,攻击者通过托管在黑客控制的Dropbox帐户上的IMG文件,在针对金融机构和其他组织的商业电子邮件妥协(BEC)活动中传播RaccoonStealer。Martyanov说,最近,Avast威胁实验室的研究人员观察到攻击者传播RaccoonStealer的一些更有创意的方式。而他们的沟通技巧之复杂多样,只有你想不到。除了使用BuerLoader和Gcleaner这两个加载器进行传播外,攻击者还可以通过伪造游戏秘籍、破解软件补丁(包括Fortnite、Valorant和NBA2K22MOD)或其他软件Stealer来传播Raccoon。他补充说,网络犯罪分子还希望使用Themida或恶意软件加壳程序来尝试和逃避检测,并且已经观察到一些攻击样本连续使用同一个加壳程序超过五次。在Telegram上滥用C2该报告详细说明了最新版本的RaccoonStealer如何与Telegram中的C2通信。根据该帖子,它的C2通信有四个签名,这些签名在每个RaccoonStealer样本中都是硬编码的。它们是:MAIN_KEY,在这一年里改变了四次。Telegramgate的URL,其中包含频道名称。BotID,十六进制字符串,每次都会发送给C2。TELEGRAM_KEY,用于解密从Telegram获得的C2地址的密钥。为了劫持Telegram的C2,恶意软件首先需要解密MAIN_KEY值,该值可用于解密Telegram网关的URL和BotID。Martyanov写道,然后攻击者将使用Telegram门,这是一个操作链,最终允许它使用Telegram基础设施来存储和更新实际的C2地址。通过执行来自C2的命令来下载和执行任意文件,攻击者还能够分发恶意软件。AvastThreatLabs收集了大约185个文件,总大小为265兆字节,包括下载器、剪贴板加密窃取程序和WhiteBlackCrypt勒索软件,全部由RaccoonStealer分发。避免针对俄罗斯实体一旦恶意软件开始执行,RacoonStealer就会开始检查受感染设备上设置的默认用户语言,如果是以下语言之一,则不采取任何措施。俄罗斯、乌克兰、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、亚美尼亚、塔吉克斯坦或乌兹别克斯坦。因此,研究人员认为,这可能是因为开发者本身就是俄罗斯人。然而,Avast威胁实验室还发现,我们最近成功阻止的攻击次数最多的国家是针对俄罗斯的。这很有趣,因为恶意软件背后的攻击者不想感染俄罗斯或中亚的计算机。他还指出,这可能是因为攻击是通过喷洒传播的,将恶意软件传播到世界各地。恶意软件在到达受感染的设备之前不会检查用户的位置。如果它发现设备位于开发人员不想攻击的区域,它就不会运行。Martyanov写道,这解释了为什么我们在俄罗斯检测到如此多的攻击企图,即我们可以在它进入检查设备位置的阶段之前阻止它。如果未受保护的设备遇到其区域设置为英语或列表中未列出的任何其他语言的恶意软件,它仍会被感染。本文翻译自:https://threatpost.com/raccoon-stealer-telegram/178881/如有转载请注明原文地址。
