首页 科技内容详情
周全剖析Raccoon Stealer木马流动(上)

周全剖析Raccoon Stealer木马流动(上)

分类:科技

网址:

SEO查询: 爱站网 站长工具

点击直达

欧博注册

欢迎进入欧博注册(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

通过dropper-as- service提供的Cookie和证书窃取恶意软件服务现在增添了一个“clipper”来窃取加密生意,并可以释放其他恶意软件。

在已往的一年半里,随「sui」着越来越多的组织将他们的大部门事情转移到基于网络的服务上,浏览器存储的(de)密码和认证cookie成为了攻击者的攻击目的,这些攻击者不仅追求接见受害者的网络银行凭证,而且还追求更多的接见权限。最近发生在游戏刊行巨头EA(艺电)的黑客事宜就是窃守信息的恶意软件对企业和小我私人造成攻击的一个例子。

今年6月,EA(艺电)克日遭到了黑客攻击,窃取了约780GB 的游戏原代码数据,好比《FIFA 21》、支持多个爆款游戏的Frostbite引擎,而且这些数据已在种种地下论坛上被四处兜销。黑客们行使被盗用的Cookie,获得了EA 使用的Slack频道的允许权,并得以进入EA 的Slack。进入EA Slack 的谈天室之后,黑客们便向IT 部gate的其中一位成员发送新闻,声称手机丢失,借此乐成骗到IT 部gate重新发送给他的EA 内网络登录认证。 黑客透露,他们行使这种简朴的“诈骗”方式,乐成骗到了两次认证。而在登录EA 内部网络之后,黑客便发现了一个为EA 开发职员编写游戏程序的服务,于是便在上面确立了一个虚拟机,下载了游戏源代码。

最近,研究职员一直在追踪一个稀奇活跃的攻击流动,攻击者使用“Raccoon Stealer”(一种普遍使用的信息窃取恶意软件)举行的稀奇活跃的流动。Raccoon Stealer窃密木马首次泛起于2019年4月,是暗网中最受关注的10大恶意软件之一,现在已经熏染了全球数十万台装备。该木马具有窃取登录凭证、信用卡信息、加密钱币钱包和浏览器信息等多种恶意功效。攻击者使用多种手法逃避检测,如使用Telegram作为C2举行通讯、行使注册表实现恶意载荷接见等。现在Raccoon Stealer的TTP还在(zai)不停迭代,这些手艺要么在犯罪市场出售,要么供他们自己使用。

在俄语论坛上先容Raccoon Stealer的帖子

和许多偷窃程序一样,Raccoon Stealer是作为一种服务被出售的,而不是作为一个自力的恶意软件被出售。至少在已往的两年里,它的开发者们一直在暗网与恶意软件相关(guan)的论坛上推销这个“偷窃程序即服务”的恶意程序。由基于Tor 的下令和控制“面板”服务器控制,Raccoon Stealer很像其他基于web的商业服务,它在不停开发中,新功效和破绽修复定期宣布,甚至提供自动更新的恶意软件,已经部署在受熏染的装备上。虽然Raccoon Stealer的广告板以俄语为主,但它也用英语做广告【gao】,并提供英语支持。

Raccoon Stealer可以网络密码、cookie和网【wang】站的“自动填充”文本,包罗信用卡数据和其他可能存储在浏览器中的小我私人 ren[识别信息。由于最近的“clipper”更新,Raccoon Stealer窃取程序现在也针对加密钱币钱包,并可以检索或删除受熏染系统上的文件。

Raccoon Stealer最新升级「ji」版的广告海报

另有这个帖子的翻译

Raccoon的开『kai』发职员严酷控制恶意软件的接见权限,通过基于Tor 的网络面板托管用户部署的任何装备人的接见权限。他们的恶意软件的每个可执行程序都有一个与客户绑定的署名,因此,若是他们的恶意软件样本泛起在VirusTotal或其他恶意软件网站上,他们可以追踪到可能泄露它的客户。

信息和密码窃取程序生态系统

信息窃取程序在「zai」网络犯罪生态系统中占有了一个主要的位置。它们是种种身份偷窃的组成部门,允许其运营商从被其熏染的系统中获取 qu[小我私人身份信息,包罗以存储凭证和浏览器cookie的形式窃取登录数据,以控制对基于网络的服务的接见。这些证书经常在犯罪市场上被窃取和出售,允许其他攻击者行使它们来实现自己的犯罪意图。

信息和密码窃取程序是实行犯罪流动的廉价跳板,例如,入gate级的Raccoon Stealer七天订阅费只需75美元。与更庞大的犯罪行意软件操作(如勒索软件)差其【qi】余是,它不需要对买家举行审查——任何人都可以购置它们,不管它们在黑市中的名声若何。像Raccoon Stealer这样的服务允许新生的网络罪犯确立声誉,让他们从更多的独家供应商那里订阅或购置更高级的恶意软件。

除此之【zhi】外,还可以免费获得一些信息和密码窃取程序(xu)的二进制文件和源代码。Azorult 信息和密码窃取程序 builder宣布在几个下载网站上,可以在网上找到这些网站。也有一些攻击性的平安工具,如LaZagne,可以被恶意攻击者用于相同的义务——研究职员已经看到Dharma勒索软件的操作职员使用LaZagne。

由于这种容易获取的特征,在研究职员的剖析中,信息窃取程序是一个普遍的攻击,而且由大量攻击者操作。这在一定水平上是由于潜在的攻击者很容易就能获得它们,并部署信息和密码窃取程序,而且由于被盗凭证和服务接见异常火爆,使他们很容易快速赚钱。

一旦部署好,购置、租用或偷窃信息窃取程序的攻击者很容易就能找到窃取数据的市场。对被盗用户凭证的需求《qiu》不停增〖zeng〗添,尤其是提供接见正当服务的凭证,这些服务可用于托管或流传更【geng】多恶意软件,无论是通过托管(使用 FTP 或其“qi”他服务器凭证)照样(yang)流传(使用电子邮件或新闻转达应用程序)获取被盗域名和帐「zhang」户的正当性的利益。与更深条理的网络攻击、勒索软件或对网络银行服务的诓骗性使用相比,这使得信息和密码窃取程序数据获取容易且风险低。

并非所有的信息和密码窃取程序都以这种方式使用,有些是另一种攻击的组成部门,例如,作为一个勒索软件运营商试图 tu[在网络内横向移动的一部门,就像Dharma攻击者使用LaZagne。有些恶意软件以针《zhen》对性的方式使用,以获得接见特定组织的权限,以便部署其他恶意软件。在某些情形下,信息和密码窃取程序内置在另一种形式的恶意软件中,例如远程接见工具。例如,QuasarRAT 在收到来自操作员的远程下令之前不会执行其信息窃取组件。

Trash panda攻击

在有针对性的攻击中,信息和密码窃取程序工具《ju》只是更大攻击的一部门,攻击者通过其他方式获得接见权后,手动部署信息和密码窃取程序。但更常见的是,像Raccoon Stealer这样的信息和密码窃取程序会选用两种方式中的一种提议攻击。

最常见的方式是通过垃圾邮件,将其作为压缩的可执行文件或恶意文档释放程序的有用载荷。但攻击(ji)者也可能通过恶意网站或p2p共享服务(如Bittorrent)流传恶意软件,伪装成盗版软件。这样攻击程序会自我安装或者可能被一个滴管释放。

最近绝大多数的Raccoon Stealer样本是通过行使恶意网站的单个滴管流动流传的。该攻击背后的攻击者还使用搜索引擎优化来增添寻找特定软件包的人接{jie}见恶意站点的几率。在谷歌上搜索“software product name破解”,返回那些声称提供绕过允许要求的软件下载的网站链接。

用谷歌搜索破解版的软件包会返回到盗版软件网站的链接,除非其中一个是恶意软件网站

与该流动相关的网站经由搜索引擎优化,在 Google 和其他网络搜索破解软件的搜(sou)索效果中排名靠前,他们还在 YouTube 频道上宣传有关“warez”(盗版软件)的视频。研究职员发现监测手艺的样原本自两个域:gsmcracktools.blogspot.com和procrackerz.org。

这个冒充的软件网站是一个WordPress博客,上面全是“破解”软件的清单

虽然这些网站将自己标榜为“破解”正〖zheng〗当软件包的存储库,但流传的文件〖jian〗现实上是伪装的 dropper。单击下载链接,该链接毗邻到托管在 Amazon Web Services 上的一组重定向器 JavaScript,这些 JavaScript 将受害者分流到多个下载地址之一,提供差异版本的droper。

下载的第一阶段有用载荷是一个档案,包{bao}罗一个受密码珍爱的档案和一‘yi’个包罗密码的文本文档

新2网址

www.9cx.net)实时更新发布最新最快最有效的新2网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

包罗“设置”可执行文件的存档受密码珍爱,以逃避恶意软件扫描

密码文件的内容,以ASCII完成

这些密码珍爱文件夹中的【de】有用载荷是自解压缩安装程序,它们具有与7zip或Winzip SFX等工具的(de)自解压缩存档相关联的署名,但这些工具无法解压缩它们。要么是署名被伪造了,要么是文件的题目被释放程序背后的攻击者操作了,以防止在没有执行的情形下解包。

在这次流动中,投放者不仅携带了Raccoon Stealer,他们还提供了许多其他恶意软件『jian』,有时是在统一个捆绑包中,包罗:

加密钱币挖矿软件(cryptominer):与勒索软件和其他恶意软件差异,加密钱币挖矿软件(cryptominer)一样平常是一些正当的软件工具,因此不大容易被反恶意软件产物所检测『ce』到;

clipper:通过在攻击历程中修改受害者的系统剪贴板和更改目的钱包来窃取加密钱“qian”币“bi”的恶意软件;

恶意浏览器扩展;

YouTube点击诓骗木马;

Djvu/Stop:一个主要针对家庭用户的勒索软件:

恶意软件的多样性解释,这些投递程序很可能是“作为服务的投递程序”,与使用“Raccoon Stealer”的攻击程序没有直接关系。

使用Telegram举行通讯

此流动释放的Raccoon Stealer样本与之前剖析的样本差异,由于它们使用 Telegram 渠道举行通讯。Telegram用于转达下令和控制网关的地址。

Raccoon Stealer电报频道预览的谷歌「ge」缓存

频道预览的实时视图,带有差其余加密频道形貌新闻。该通道地址经由加密并硬编码到Raccoon窃取‘qu’程序中,还附带一个与Raccoon“客户”相关的(de)设置ID和一个RC4加密密钥。

这些Raccoon Stealer代码被用于联系Telegram并获取gate地址

使用硬编码的RC4密钥,Raccoon Stealer解密了通道形貌中的新闻,其中包罗一个下令和控制“gate”的地址。这不是一个简朴的解密历程,效果字符串的一部门从通道形貌的最先部门和竣事部门被裁剪掉,然后裔码用RC4解密文本以获得C2 gate地址。

若是通讯被壅闭,这个机制可以用来在gate之间切换,检索到gate地址后,Raccoon Stealer毗邻到gate以与C2通讯。

Raccoon StealerC2流“liu”量汇总,从Telegram毗邻最先

从Raccoon Stealer上传到C2“gate”

Raccoon Stealer发送到gate的第一个 HTTP POST 包罗一个 base64 编码的“params”字段。这包罗窃取程序的唯一 yi[标识符 (bot_id) 和之前解密的设置 ID。 C2 gate使用包罗窃取程序设置信息的 JSON 工具举行响应。

由 C2 发送的Raccoon Stealer设置数据包罗目的的位置数据

设置包罗检索所需的Raccoon stealer库文件的链接(在某些情形下,还包罗分外的载荷),在研究职员剖析的样本中,辅助的有用载荷是一个加密钱币挖矿程序。

Trash panda可以偷窃用户的信息

Raccoon Stealer从受害装备网络数据后,将它们归档成一个包,然后上传到C2。该档案包罗受害者桌面的截图(screen.jpg),网络的系统信息(system Info.txt),以及从浏览器、电子邮件客户端、加密钱币钱包窃取的数据,以及它可以找到的任(ren)何数据。

System Info.txt花样如下:

一个由Raccoon Stealer发回System Info.txt 内容示例

一旦网络完毕,归档文件将作为HTTP帖子上传到gate。

本文翻译自:https://news.sophos.com/en-us/2021/08/03/trash-panda-as-a-service-raccoon-stealer-steals-cookies-cryptocoins-and-more/
  • USDT自动API接口(www.caibao.it) @回复Ta

    2021-10-04 00:08:42 

    这就是此次事宜的经由啦~小说都不敢这么写吧~~~用一句话总结就是:骗{pian}色、骗钱 qian[、骗流量的”爱恨纠纷“吧~~~收藏!继续努力呀

  • USDT法币交易API接入(www.caibao.it) @回复Ta

    2021-10-31 00:00:53 

    usdtapiwww.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

    值得看的

  • 怎么充值usdt(www.usdt8.vip) @回复Ta

    2021-11-06 00:15:21 

    www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费《fei》足球贴士,免费足球推介,免费《fei》专家贴士,免费足球推荐,最专《zhuan》业的足球心水网。我天天看,谁有我厉害

    • usdt法币交易平台(www.usdt8.vip) @回复Ta

      2021-12-11 23:30:07 

      简单总结,今天的市场环境是局部热点的前排票依然活跃,但是整体市场进攻动能太乏力了。提醒一下投资者,明天早盘一开,你看到的依然是小板块领涨,这意味着空方要反扑了,有可能给出继续下跌的走势,短线你不要心存侥幸,先出局避险。 贼精彩,想看下一节

  • 国内怎么买usdt(www.usdt8.vip) @回复Ta

    2021-12-03 00:04:39 

    USDT交易平台www.Uotc.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U担保开放usdt otc API接口、支付回调等接口。

    不错呢,喜欢你

    • 皇冠APP下载(www.22223388.com) @回复Ta

      2021-12-08 07:52:46 

      usdt接口www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

      留言,证明我在看~

  • USDT钱包(www.usdt8.vip) @回复Ta

    2021-12-12 00:01:44 

    这次北通宙斯初音未来限制版最抢眼的莫过于整体接纳了和初音未来同款的苍绿色为主色,辅以摇杆火山口的玫红色、手柄肩键和十字键的钨金黑配色,兼顾了北通宙斯的机械、硬朗风和初音未来的可爱二次元风。继续更吗

  • trc20交易平台(www.usdt8.vip) @回复Ta

    2021-12-21 00:04:02 

    爱纱直言,看到当下她感应异常莫名其妙,由于她基本不知‘zhi’道这个同伙已经娶亲了,对方并没有让她知道,「我有一【yi】点被吓到」,但她当下只以为不要去打“da”扰到对方的家庭。不外一段时间事后,她「ta」心里〖li〗却最先纳闷,她以为和这个同伙『huo』熟悉这么多「duo」年,发生这件事他应该要致歉并和她注释清晰【xi】,可是对方却整小我私人世蒸发彻底消逝,让爱纱连骂对方的时机都没有,让她直呼「我的友谊就这样没有了」。年度最佳就是你了

  • 皇冠平台出租(rent.22223388.com) @回复Ta

    2022-01-02 00:01:47 

    据《今晚报》报道,本市近日出台《关于发挥高校实践育人功能,提高中小学课后服务质量的实施方案》,将中小学课后服务作为高校师生社会实践和志愿服务的重要内容,扩大高校优质教育资源辐射面,推进高校与中小学常态化沟通,发挥高校专业优势和人才优势,最大限度发动大学生志愿参与中小学课后服务,丰富中小学课后服务的形式和内容。打包票,百分百好看

  • 皇冠代理线路(www.hg9988.vip) @回复Ta

    2022-01-05 00:00:59 

    新2信用平台出租rent.22223388.com)是皇冠(正网)接入菜宝钱包的TRC20-USDT支付系统,为皇冠代理提供专业的网上运营管理系统。系统实现注册、充值、提现、客服等全自动化功能。采用的USDT匿名支付、阅后即焚的IM客服系统,让皇冠代理的运营更轻松更安全。情节不拖沓,喜欢

  • 足球免费贴士(www.hgbbs.vip) @回复Ta

    2022-01-13 00:02:13 

    股东方面,宿迁爱尔眼科医院有限公司共有4名股东,分别为宿迁视线医疗管理合伙企业(有限合伙)、天津爱信企业管理合伙企业(有限合伙)(以下简称天津爱信)、南京视线医疗产业投资合伙企业(有限合伙)和上海视阔企业管理合伙企业(有限合伙)。很有想法

  • USDT交易所(www.usdt8.vip) @回复Ta

    2022-03-08 00:27:00 

    拜登政府预计最快明年初完成制定《核态势评估报告》。在就任总统以前,拜登曾在外交类期刊杂志上表示应将拥核的目的限定为威慑与报复,他还称有意在制定新的核战略时与盟国保持沟通和协商。 很有特点呢

  • 皇冠登录线路网址(www.hg9988.vip) @回复Ta

    2022-05-01 00:16:30 

    格鲁什科还表示,驱逐俄罗斯外交官所产生的影响将持续很长时间,“破坏关系简单,建立关系难”。俄罗斯不想破坏与任何国家的外交关系,但是西方的不友好政策是看不到头的。很实在的网文

发布评论