留言
浣熊盗窃者:垃圾熊滥用 Telegram
我们最近发现了一种名为 Raccoon Stealer 的恶意软件,这个名字是由其作者所取。Raccoon Stealer 使用 Telegram 基础设施来存储和更新实际的 CampC 地址。
Raccoon Stealer 是一种密码窃取工具,能够窃取的不仅仅是密码,还有多种类型的数据,包括:
浏览器中的 Cookies、保存的登录信息和表单数据邮件客户端和消息软件的登录凭据加密钱包中的文件浏览器插件和扩展中的数据根据 CampC 的命令窃取的任意文件此外,它还能够通过 CampC 的命令下载和执行任意文件。结合其活跃的开发和在地下论坛的推广,Raccoon Stealer 变得相当普遍且危险。
我们见过的最早的 Raccoon Stealer 样本的时间戳是从 2019 年 4 月底 开始的。其作者表示该恶意软件首次在地下论坛上销售也是在同一月份。自那时以来,它已被多次更新。根据作者的说法,他们修复了错误,添加了新特性等。
分发方式
我们发现 Raccoon Stealer 通过下载器进行分发,例如 Buer Loader 和 GCleaner。根据一些样本,我们认为它也以 假游戏作弊、破解软件的补丁包括 堡垒之夜、Valorant 和 NBA2K22 的 hacks 和 mods或其他软件的形式分发。考虑到 Raccoon Stealer 是可以出售的,它的分发方式仅限于最终买家的想象力。有些样本是以未压缩的形式传播,而有些则是使用 Themida 或恶意软件打包工具保护的。值得注意的是,有些样本被压缩了超过 五次!
技术细节
Raccoon Stealer 是用 C/C 编写的,并使用 Visual Studio 构建。样本大小约为 580600 kB。代码质量低于平均水平,一些字符串被加密,而另一些则没有。
一旦执行,Raccoon Stealer 会开始检查感染设备上设置的默认用户区域,如果是以下语言之一,则不会工作:
俄语乌克兰语白俄罗斯语哈萨克语吉尔吉斯语阿美尼亚语塔吉克语乌兹别克语
CampC 通信
关于该窃取工具最有趣的部分是它与 CampC 的通信。每个 Raccoon Stealer 样本中都硬编码了四个对其 CampC 通信至关重要的值:
MAINKEY。这个值在一年内更改了四次。Telegram 门户的 URL 和频道名称。门户的使用不是为了实现复杂的 Telegram 协议,也不在样本中存储任何凭据。BotID 每次发送到 CampC 的十六进制字符串。TELEGRAMKEY 用于解密从 Telegram 门获得的 CampC 地址的密钥。让我们通过一个例子来看看它是如何工作的:447c03cc63a420c07875132d35ef027adec98e7bd446cf4f7c9d45b6af40ea2b 解压为:f1cfcce14739887cc7c082d44316e955841e4559ba62415e1d2c9ed57d0c6232:
首先,解密 MAINKEY。请参见下图中的解密代码:在这个例子中,MAINKEY 是 jY1aN3zZ2j。这个密钥用于解密 Telegram 门户的 URLs 和 BotID。
猎豹加速器app这个例子解码和解密了 Telegram 门的 URL。它在样本中存储为:Rf66cjXWSDBo1vlrnxFnlmWs5Hi29V1kU8o8g8VtcKby7dXlgh1EIweq4Q9e3PZJl3bZKVJok2GgpA90j35LVd34QAiXtpeV2UZQS5VrcO7UWo0E1JOzwI0Zqrdk9jzEGQIEzdvSl5HWSzlFRuIjBmOLmgH/V84PCRFevc40ZuTAZUqq1JywLG/1xzXQdYZiKWea8ODgaN4B8cT3AqbHmY56MHEBWTqTsITPAxKdPMu3dC9nwdBF3nlvmX4/q/gSPflYF7aIU1wFhZxViWq2解码成 Base64 后形式为:使用 MAINKEY 解密这个二进制数据用 RC4 算法可以得到包含 Telegram 门的字符串:
该窃取工具需要获取其真实的 CampC。为此,它请求一个 Telegram 门,返回一个 HTML 页面:在这里你可以看到 Telegram 频道名称和其状态的 Base64 编码:e74b2mD/ry6GYdwNuXl10SYoVBR7/tFgp2fv32去掉前缀始终是五个字符和后缀始终是六个字符,得到 mD/ry6GYdwNuXl10SYoVBR7/tFgp。然后,将这个 Base64 解码以获取加密的 CampC URL:
此示例中的 TELEGRAMKEY 是字符串 739b4887457d3ffa7b811ce0d03315ce,Raccoon 使用它作为 RC4 算法的密钥来最终解密 CampC URL http//91219236[]18/
Raccoon 创建一个包含 PC 信息机器 GUID 和用户名及 BotID 的查询字符串。查询字符串使用 MAINKEY 通过 RC4 加密,然后用 Base64 编码。这些数据通过 POST 发送到 CampC,而响应则用 Base64 编码并使用 MAINKEY 加密。实际上,它是一个包含大量参数的 JSON,样子如下:因此,Telegram 基础设施被用来存储和更新实际的 CampC 地址。这看起来相当方便和可靠,直到 Telegram 决定采取行动。
分析
Raccoon Stealer 的幕后团队
根据我们对地下论坛卖家消息的分析,我们可以推测出一些关于恶意软件背后人的信息。Raccoon Stealer 是由一个团队开发的,团队中的一些或可能所有成员是以俄语为母语的人。论坛上的消息是用俄语写的,我们推测他们来自前苏联国家,因为他们试图阻止窃取工具针对这些国家的用户。
通过对样本中发现的伪影进行分析,可以假设小组成员的可能名字/昵称:
CUsersa13xuiop1337CUsersDavid流行程度
Raccoon Stealer 相当普遍:从 2021 年 3 月 3 日到 2022 年 2 月 17 日,我们的系统检测到 超过 25000 个与 Raccoon 相关的样本。在此期间,我们识别出 超过 1300 个不同的配置。
以下是一张地图,显示 Avast 从 2021 年 3 月 3 日到 2022 年 2 月 17 日 保护的来自 Raccoon Stealer 的系统数量。在此期间,Avast 几乎阻止了 600000 次 Raccoon Stealer 的攻击。
我们阻止最多尝试的国家是俄罗斯,这一点很有趣,因为恶意软件背后的行为者并不希望感染俄罗斯或中亚的计算机。我们认为这些攻击是以随机的方式进行的,在全球范围内分发恶意软件。直到它被安装在系统上,窃取工具才会开始检查默认区域。如果是上述列出的语言之一,则不会运行。这就解释了为什么我们在俄罗斯检测到如此多的攻击尝试,我们在恶意软件能运行之前就阻止了它,也就是在其并未检查设备语言的阶段。如果一个未受保护的设备遇到语言设置为英语或任何其他不在例外列表中的语言,但仍在俄罗斯,那么它仍然会被感染。
Telegram 频道
从我们提取的 1300 多个不同配置中,有 429 个是独特的 Telegram 频道。有些频道只在单个配置中使用,而其他则使用了多次。最常用的频道包括:
jdiamond13 使用 122 次jjbadb0y 使用 44 次nixsmasterbaks2 使用 31 次hellobyegain 使用 25 次hsmurf1kman1 使用 24 次因此,这五个最常用的频道在大约 19 的配置中被发现。
Raccoon 分发的恶意软件
如前所述,Raccoon Stealer 能够根据来自 CampC 的命令下载和执行任意文件。我们收集到了一些这些文件,共计 185 个,总大小为 265 MB,其中一些类别包括:
下载器 用于下载和执行其他文件剪贴板加密窃取器 修改剪贴板中的加密钱包地址 非常流行超过 10WhiteBlackCrypt 勒索软件用于下载此软件的服务器
我们从 Raccoon 配置中提取到其他恶意软件的唯一链接,共有 196 个独特 URL。一些分析结果如下:
43 的 URL 使用 HTTP 协议,57 使用 HTTPS。使用了 83 个域名。大约 20 的恶意软件被放置在 Discord CDN。大约 10 的恶意软件来自 aun3xk17k[]space。结论
我们将继续监控 Raccoon Stealer 的活动,关注新的 CampC、Telegram 频道和下载的样本。我们预测它可能会被其他网络犯罪团伙更广泛地使用。我们认为 Raccoon Stealer 背后的团队将进一步开发新功能,包括窃取数据的新软件,以及绕过该软件现有的保护措施。
IoC
447c03cc63a420c07875132d35ef027adec98e7bd446cf4f7c9d45b6af40ea2bf1cfcce14739887cc7c082d44316e955841e4559ba62415e1d2c9ed57d0c6232
标记为 恶意软件,恶意软件分析,Raccoon,逆向工程,窃取工具,Telegram,垃圾熊猫
分享:XFacebook