RACCOON間諜軟件於2019年4月成為惡意軟件即服務(MaaS),儘管編碼簡單、功能單一,但還是很快就俘獲了一大批粉絲,甚至被網絡安全公司Cybereason評定為“2019年暗網交易市場十大最熱門的惡意軟件之一”。
登錄憑證竊取、銀行卡信息竊取以及加密貨幣錢包和瀏覽器信息竊取,RACCOON的確只具備最基本的信息竊取功能。但事實證明,低廉的售價(價格從每週75美元到每月200美元不等)、積極的廣告營銷、良好的用戶體驗以及長期的免費技術支持完全足以彌補其不足之處。
此外,還可通過不同的傳播技術(包括漏洞利用工具包、網絡釣魚,以及與其他惡意軟件捆綁在一起)抵達受害者的計算機以及濫用Google Drive在線雲存儲服務來繞過安全檢測,也可以說是RACCOON備受網絡犯罪分子青睞的關鍵原因之一,畢竟這有助於提高網絡間諜活動的成功率。
漏洞利用傳播術
自2019年4月以來,已有三起試圖使用漏洞利用工具包(包括Rig EK和Fallout EK)來傳播RACCOON的黑客行動被記錄在案,細節如下:
圖1.漏洞利用活動統計
在抵達計算機後,Raccoon便會連接到Google Drive URL來解密實際的C&C服務器。
網絡釣魚傳播術
如下圖所示的釣魚電子郵件一封勒索信,要求收件人支付贖金以換取被盜的敏感信息。
圖2.包含Raccoon惡意軟件附件的釣魚郵件示例
惡意軟件樣本會從C&C服務器下載其信息竊取例程所需的庫,以及從hxxp://hrcorp1[.]site/signed.exe下載一個可執行二進制文件。然後,此組件將釋放並解壓縮help.zip,其中包含一個名為“evil.ps1”的PowerShell腳本。
圖3.Raccoon竊取程序二進制文件內的部分字符串
受害者數據統計
據稱,自2019年4月以來,至少有10萬起黑客事件與Raccoon相關,受影響最大的國家分別是印度和日本,其次是包括哥倫比亞、加拿大、美國、墨西哥、玻利維亞和秘魯在內的一些美洲國家。
圖4.自2019年4月以來受Raccoon影響的國家
結語
就像我們在文章開頭部分所說的那樣,Raccoon MaaS之所以在網絡犯罪圈子裡深受歡迎的關鍵原因之一,是其背後的開發團隊承諾了所謂的“客戶支持”,甚至一度被認為是AZORult間諜軟件的完美替代品。
從目前Raccoon被使用的情況來看,其開發團隊勢必將繼續對其進行優化升級,甚至可能還會為其添加一些新的功能或規避技術。因此,大家應該持續保持對Raccoon的關注,以便能夠及時部署有針對性的防禦措施。
閱讀更多 黑客視界 的文章
