Raccoon Stealer平臺幕后的犯罪分子已經更新了他們的服務，包括從目標計算機中盜竊加密貨幣的工具，以及用于投放惡意軟件和竊取文件的遠程訪問功能。

這個服務平臺的使用者通常是新秀黑客，該平臺可以提供偷竊瀏覽器存儲的密碼和認證cookies的服務。根據Sophos實驗室在周二公布的研究內容中，該平臺目前已經發布了很多重要的功能更新，其中包括新的攻擊工具和分發網絡，同時也提高了對目標攻擊的成功率。

[[418864]]

首先，Raccoon Stealer已經從基于收件箱的感染方式轉向利用谷歌搜索進行傳播的感染方式。據Sophos稱，攻擊者現在已經能夠熟練地對惡意網頁進行了優化，使其在谷歌搜索的結果中排名靠前。在這一攻擊活動中，引誘受害者的誘餌是盜版軟件工具，如用于 "破解 "正版收費軟件進行使用的程序，或用來生成注冊密鑰、解鎖正版軟件的激活程序。

Sophos公司高級威脅研究人員Yusuf Polat和Sean Gallagher寫道:"雖然這些網站宣稱自己是一個合法的軟件網站，但提供下載的文件實際上是一個偽裝的dropper。點擊下載鏈接后會連接到托管在亞馬遜網絡服務上的JavaScripts重定向器，將受害者分流到多個不同的下載地點，提供不同版本的dropper進行下載。"

Raccoon更新了新的攻擊方式

Raccoon Stealer的攻擊方式與其他通過收件箱對個人的信息竊取的惡意軟件不同，Sophos追蹤發現攻擊活動是通過惡意網站傳播的。

研究人員說，被騙的受害者會下載一個包含有效載荷的文檔。該檔案包含另一個受密碼保護的文檔和一個包含密碼的文本文件，它們會在感染鏈的后面使用。包含可執行文件的文檔是受密碼保護的，這樣就可以逃避惡意軟件掃描。

該可執行文件提供了自解壓安裝程序。他們有與7zip或Winzip SFX等工具的自解壓檔案相關的簽名，但不能被這些工具解壓。索福斯認為："簽名要么是偽造的，要么文件的標題已經被投放者處理過，可以防止在沒有執行文件的情況下解包。”

Sophos說，交付給受害者的惡意軟件可能包括加密貨幣挖礦工具、"Clippers"(在交易過程中通過修改受害者的系統剪貼板和改變目標錢包來竊取加密貨幣的惡意軟件)、惡意的瀏覽器擴展程序、Djvu/Stop(一種主要針對家庭用戶的勒索軟件)。

偷竊者使用的基礎設施

至于如何管理被感染的系統，Sophos說，攻擊者使用安全信息平臺Telegram，并使用RC4加密密鑰對通信進一步進行了混淆。

通過使用硬編碼的RC4密鑰，Raccoon對通道中的信息進行解密，其中包含一個命令和控制(C2)的地址。 他們寫道："這個過程并不是直接執行就可以進行解密的，所產生的字符串在通道描述的開始和結束處會被刪除，然后代碼用RC4解密文本以獲得C2的地址。”

犯罪分子會使用該工具進行地毯式的搜索，盜取有價值的文件，從基于瀏覽器的數據到加密貨幣錢包，都會使用C2進行竊取。同時，這個C2還被用來下載一個用Visual Basic .NET編寫的SilentXMRMiner工具，該工具在運行時還會用Crypto Obfuscato進行混淆。

據Sophos稱，自2020年10月以來，由Raccoon Stealer交付的第二級有效載荷包括18個惡意軟件樣本。最近的一個是名為QuilClipper的針對加密貨幣交易進行攻擊的惡意軟件。

研究人員寫道："在Virustotal上分析.Net加載器和clipper類似的樣本時，我們發現很多的樣本會托管在bbhmnn778[.fun]域名上。在調查相關文件并對其文件名進行搜索，我們發現了一個宣傳《Raccoon Stealer》和《QuilClipper》的YouTube頻道。"

Raccoon的攻擊特點

通過對Raccoon Stealer基礎設施的研究顯示，域名xsph[.]ru下有60個子域名，其中21個最近處于活躍狀態，同時發現該域名通過俄羅斯主機提供商SprintHost[.]ru注冊。

Polat和Gallagher寫道："這個Raccoon Stealer攻擊活動表明犯罪活動現在已經變得非常專業化。他們說，威脅行為者越來越多地開始使用付費服務，如投放器即服務，來部署Raccoon和惡意軟件托管平臺。

據Sophos估計，這次Raccoon攻擊活動幕后的犯罪分子部署惡意軟件，竊取cookie和憑證，并在犯罪市場上出售這些被盜的憑證，竊取價值約13200美元的加密貨幣，并利用受害者的計算資源在六個月內挖掘2900美元的加密貨幣，該犯罪企業的運行成本估計為1250美元。

索福斯寫道："正是由于這種低成本的投入使這種類型的網絡犯罪如此普遍”。

本文翻譯自：https://threatpost.com/raccoon-stealer-google-seo/168301/