近期，在線平臺(tái)Zscaler安全專(zhuān)家發(fā)布了對(duì)Raccoon Stealer惡意軟件新變種的分析，據(jù)研究，該惡意軟件的新變種是用C語(yǔ)言編寫(xiě)的，與以前主要用C++ 編寫(xiě)的版本不同，并且Raccoon Stealer 2.0 具有新的后端和前端，以及更有效地竊取憑據(jù)和其他數(shù)據(jù)的代碼。

該惡意軟件的新版本也可以在32位和64位系統(tǒng)上運(yùn)行，無(wú)需任何額外的依賴(lài)項(xiàng)，而是直接從其C2服務(wù)器獲取8個(gè)合法 DLL（而不是依賴(lài) Telegram Bot API）。C2還負(fù)責(zé)惡意軟件的配置，包括目標(biāo)應(yīng)用程序、托管dll的URL和用于數(shù)據(jù)導(dǎo)出的令牌。然后，服務(wù)器接收機(jī)器指紋數(shù)據(jù)，并等待包含被盜信息的單個(gè)POST請(qǐng)求。

Raccoon Stealer 2.0竊取的數(shù)據(jù)類(lèi)型包括系統(tǒng)指紋信息、瀏覽器密碼、cookies、自動(dòng)填充數(shù)據(jù)和保存的信用卡、加密貨幣錢(qián)包、位于所有磁盤(pán)上的文件、屏幕截圖和已安裝的應(yīng)用程序列表。Zscaler還表示，“我們還看到了 Raccoon Stealer v2 通過(guò)使用動(dòng)態(tài)解析 API 名稱(chēng)而不是靜態(tài)加載的機(jī)制來(lái)隱藏其意圖的變化。”

據(jù)報(bào)道，在俄羅斯入侵烏克蘭期間，該惡意軟件的一名主要開(kāi)發(fā)人員不幸離世后，Raccoon Stealer 業(yè)務(wù)于2022年3月曾短暫關(guān)閉。不過(guò)根據(jù)Sekoia安全分析師的分析，該團(tuán)隊(duì)隨后在暗網(wǎng)論壇上寫(xiě)道，Raccoon Stealer即將回歸，并暗示Raccoon Stealer在五月份的時(shí)候就已經(jīng)在開(kāi)發(fā)中了。

Zscaler說(shuō)，“Raccoon Stealer 作為惡意軟件即服務(wù)他們?cè)谶^(guò)去幾年中變得很流行，并且已經(jīng)觀察到了幾起Raccoon Stealer惡意軟件的事件。該惡意軟件的作者不斷為該惡意軟件添加新功能。這是該惡意軟件在 2019 年首次發(fā)布后的第二個(gè)主要版本。這表明該惡意軟件很可能在不斷演變，并繼續(xù)對(duì)組織構(gòu)成威脅。”