我们最近发现了一种名为 Raccoon Stealer 的恶意软件,这个名字是由其作者所取。Raccoon Stealer 使用 Telegram
基础设施来存储和更新实际的 C&C 地址。
Raccoon Stealer 是一种密码窃取工具,能够窃取的不仅仅是密码,还有多种类型的数据,包括:
- 浏览器中的 Cookies、保存的登录信息和表单数据
- 邮件客户端和消息软件的登录凭据
- 加密钱包中的文件
- 浏览器插件和扩展中的数据
- 根据 C&C 的命令窃取的任意文件
此外,它还能够通过 C&C 的命令下载和执行任意文件。结合其活跃的开发和在地下论坛的推广,Raccoon Stealer 变得相当普遍且危险。
我们见过的最早的 Raccoon Stealer 样本的时间戳是从 2019 年 4 月底
开始的。其作者表示该恶意软件首次在地下论坛上销售也是在同一月份。自那时以来,它已被多次更新。根据作者的说法,他们修复了错误,添加了新特性等。
分发方式
我们发现 Raccoon Stealer 通过下载器进行分发,例如 Buer Loader 和 GCleaner。根据一些样本,我们认为它也以
假游戏作弊、破解软件的补丁(包括 堡垒之夜、Valorant 和 NBA2K22 的 hacks 和
mods)或其他软件的形式分发。考虑到 Raccoon Stealer是可以出售的,它的分发方式仅限于最终买家的想象力。有些样本是以未压缩的形式传播,而有些则是使用 Themida
或恶意软件打包工具保护的。值得注意的是,有些样本被压缩了超过
!
技术细节
Raccoon Stealer 是用 C/C++ 编写的,并使用 Visual Studio 构建。样本大小约为 580-600kB。代码质量低于平均水平,一些字符串被加密,而另一些则没有。
一旦执行,Raccoon Stealer 会开始检查感染设备上设置的默认用户区域,如果是以下语言之一,则不会工作:
- 俄语
- 乌克兰语
- 白俄罗斯语
- 哈萨克语
- 吉尔吉斯语
- 阿美尼亚语
- 塔吉克语
- 乌兹别克语
C&C 通信
关于该窃取工具最有趣的部分是它与 C&C 的通信。每个 Raccoon Stealer 样本中都硬编码了四个对其 C&C 通信至关重要的值:
MAIN_KEY。这个值在一年内更改了四次。Telegram门户的 URL 和频道名称。门户的使用不是为了实现复杂的 Telegram 协议,也不在样本中存储任何凭据。BotID– 每次发送到 C&C 的十六进制字符串。TELEGRAM_KEY– 用于解密从 Telegram 门获得的 C&C 地址的密钥。
让我们通过一个例子来看看它是如何工作的:
447c03cc63a420c07875132d35ef027adec98e7bd446cf4f7c9d45b6af40ea2b 解压为:
f1cfcce14739887cc7c082d44316e955841e4559ba62415e1d2c9ed57d0c6232:
- 首先,解密
MAIN_KEY。请参见下图中的解密代码:
在这个例子中,MAIN_KEY 是 jY1aN3zZ2j。这个密钥用于解密 Telegram 门户的 URLs 和 BotID。
- 这个例子解码和解密了 Telegram 门的 URL。它在样本中存储为:
Rf66cjXWSDBo1vlrnxFnlmWs5Hi29V1kU8o8g8VtcKby7dXlgh1EIweq4Q9e3PZJl3bZKVJok2GgpA90j35LVd34QAiXtpeV2UZQS5VrcO7UWo0E1JOzwI0Zqrdk9jzEGQIEzdvSl5HWSzlFRuIjBmOLmgH/V84PCRFevc40ZuTAZUq+q1JywL+G/1xzXQdYZiKWea8ODgaN+4B8cT3AqbHmY5+6MHEBWTqTsITPAxKdPMu3dC9nwdBF3nlvmX4/q/gSPflYF7aIU1wFhZxViWq2
解码成 Base64 后形式为:
使用 MAIN_KEY 解密这个二进制数据(用 RC4 算法)可以得到包含 Telegram 门的字符串:
- 该窃取工具需要获取其真实的 C&C。为此,它请求一个 Telegram 门,返回一个 HTML 页面:
在这里你可以看到 Telegram 频道名称和其状态的 Base64编码:e74b2mD/ry6GYdwNuXl10SYoVBR7/tFgp2f-v32
去掉前缀(始终是五个字符)和后缀(始终是六个字符),得到 mD/ry6GYdwNuXl10SYoVBR7/tFgp。然后,将这个 Base64解码以获取加密的 C&C URL:
此示例中的 TELEGRAM_KEY 是字符串 739b4887457d3ffa7b811ce0d03315ce,Raccoon 使用它作为
RC4 算法的密钥来最终解密 C&C URL: http://91.219.236[.]18/
- Raccoon 创建一个包含 PC 信息(机器 GUID 和用户名)及
BotID的查询字符串。 - 查询字符串使用
MAIN_KEY通过RC4加密,然后用 Base64 编码。 - 这些数据通过 POST 发送到 C&C,而响应则用 Base64 编码并使用
MAIN_KEY加密。实际上,它是一个包含大量参数的 JSON,样子如下:
因此,Telegram 基础设施被用来存储和更新实际的 C&C 地址。这看起来相当方便和可靠,直到 Telegram 决定采取行动。
分析
Raccoon Stealer 的幕后团队
根据我们对地下论坛卖家消息的分析,我们可以推测出一些关于恶意软件背后人的信息。Raccoon Stealer是由一个团队开发的,团队中的一些(或可能所有)成员是以俄语为母语的人。论坛上的消息是用俄语写的,我们推测他们来自前苏联国家,因为他们试图阻止窃取工具针对这些国家的用户。
通过对样本中发现的伪影进行分析,可以假设小组成员的可能名字/昵称:
C:\Users\a13xuiop1337\C:\Users\David\
流行程度
Raccoon Stealer 相当普遍:从 2021 年 3 月 3 日到 2022 年 2 月 17 日,我们的系统检测到 超过 25,000
个与 Raccoon 相关的样本。在此期间,我们识别出 超过 1,300 个不同的配置。
以下是一张地图,显示 Avast 从 2021 年 3 月 3 日到 2022 年 2 月 17 日 保护的来自 Raccoon Stealer的系统数量。在此期间,Avast 几乎阻止了 600,000 次 Raccoon Stealer 的攻击。
我们阻止最多尝试的国家是俄罗斯,这一点很有趣,因为恶意软件背后的行为者并不希望感染俄罗斯或中亚的计算机。我们认为这些攻击是以随机的方式进行的,在全球范围内分发恶意软件。直到它被安装在系统上,窃取工具才会开始检查默认区域。如果是上述列出的语言之一,则不会运行。这就解释了为什么我们在俄罗斯检测到如此多的攻击尝试,我们在恶意软件能运行之前就阻止了它,也就是在其并未检查设备语言的阶段。如果一个未受保护的设备遇到语言设置为英语或任何其他不在例外列表中的语言,但仍在俄罗斯,那么它仍然会被感染。
Telegram 频道
从我们提取的 1,300 多个不同配置中,有 429 个是独特的 Telegram 频道。有些频道只在单个配置中使用,而其他则使用了多次。最常用的频道包括:
jdiamond13– 使用 122 次jjbadb0y– 使用 44 次nixsmasterbaks2– 使用 31 次hellobyegain– 使用 25 次h_smurf1kman_1– 使用 24 次
因此,这五个最常用的频道在大约 19% 的配置中被发现。
Raccoon 分发的恶意软件
如前所述,Raccoon Stealer 能够根据来自 C&C 的命令下载和执行任意文件。我们收集到了一些这些文件,共计 185 个,总大小为 265MB,其中一些类别包括:
下载器– 用于下载和执行其他文件剪贴板加密窃取器– 修改剪贴板中的加密钱包地址 – 非常流行(超过 10%)WhiteBlackCrypt 勒索软件
用于下载此软件的服务器
我们从 Raccoon 配置中提取到其他恶意软件的唯一链接,共有 196 个独特 URL。一些分析结果如下:
43%的 URL 使用HTTP协议,57%使用HTTPS。- 使用了
83 个域名。 - 大约
20%的恶意软件被放置在Discord CDN。 - 大约
10%的恶意软件来自aun3xk17k[.]space。
结论
我们将继续监控 Raccoon Stealer 的活动,关注新的 C&C、Telegram频道和下载的样本。我们预测它可能会被其他网络犯罪团伙更广泛地使用。我们认为 Raccoon Stealer背后的团队将进一步开发新功能,包括窃取数据的新软件,以及绕过该软件现有的保护措施。
IoC
447c03cc63a420c07875132d35ef027adec98e7bd446cf4f7c9d45b6af40ea2b
f1cfcce14739887cc7c082d44316e955841e4559ba62415e1d2c9ed57d0c6232
标记为
,, ,
,
,
,
分享:XFacebook
