RACCOON间谍软件于2019年4月成为恶意软件即服务(MaaS),尽管编码简单、功能单一,但还是很快就俘获了一大批粉丝,甚至被网络安全公司Cybereason评定为“2019年暗网交易市场十大最热门的恶意软件之一”。
登录凭证窃取、银行卡信息窃取以及加密货币钱包和浏览器信息窃取,RACCOON的确只具备最基本的信息窃取功能。但事实证明,低廉的售价(价格从每周75美元到每月200美元不等)、积极的广告营销、良好的用户体验以及长期的免费技术支持完全足以弥补其不足之处。
此外,还可通过不同的传播技术(包括漏洞利用工具包、网络钓鱼,以及与其他恶意软件捆绑在一起)抵达受害者的计算机以及滥用Google Drive在线云存储服务来绕过安全检测,也可以说是RACCOON备受网络犯罪分子青睐的关键原因之一,毕竟这有助于提高网络间谍活动的成功率。
漏洞利用传播术
自2019年4月以来,已有三起试图使用漏洞利用工具包(包括Rig EK和Fallout EK)来传播RACCOON的黑客行动被记录在案,细节如下:
图1.漏洞利用活动统计
在抵达计算机后,Raccoon便会连接到Google Drive URL来解密实际的C&C服务器。
网络钓鱼传播术
如下图所示的钓鱼电子邮件一封勒索信,要求收件人支付赎金以换取被盗的敏感信息。
图2.包含Raccoon恶意软件附件的钓鱼邮件示例
恶意软件样本会从C&C服务器下载其信息窃取例程所需的库,以及从hxxp://hrcorp1[.]site/signed.exe下载一个可执行二进制文件。然后,此组件将释放并解压缩help.zip,其中包含一个名为“evil.ps1”的PowerShell脚本。
图3.Raccoon窃取程序二进制文件内的部分字符串
受害者数据统计
据称,自2019年4月以来,至少有10万起黑客事件与Raccoon相关,受影响最大的国家分别是印度和日本,其次是包括哥伦比亚、加拿大、美国、墨西哥、玻利维亚和秘鲁在内的一些美洲国家。
图4.自2019年4月以来受Raccoon影响的国家
结语
就像我们在文章开头部分所说的那样,Raccoon MaaS之所以在网络犯罪圈子里深受欢迎的关键原因之一,是其背后的开发团队承诺了所谓的“客户支持”,甚至一度被认为是AZORult间谍软件的完美替代品。
从目前Raccoon被使用的情况来看,其开发团队势必将继续对其进行优化升级,甚至可能还会为其添加一些新的功能或规避技术。因此,大家应该持续保持对Raccoon的关注,以便能够及时部署有针对性的防御措施。
閱讀更多 黑客視界 的文章
