Bên trong Raccoon Stealer V2


Raccoon Stealer đã trở lại tin tức một lần nữa. Các quan chức Mỹ đã bắt giữ Mark Sokolovsky, một trong những tác nhân phần mềm độc hại đứng sau chương trình này. Vào tháng 2022 năm 2, sau vài tháng ngừng hoạt động, một chiếc Raccoon Stealer V2 đã lan truyền mạnh mẽ. Tuần trước, thông cáo báo chí của Bộ Tư pháp cho biết phần mềm độc hại đã thu thập được 50 triệu thông tin đăng nhập.

Bài viết này sẽ cung cấp hướng dẫn nhanh về phiên bản mới nhất của kẻ đánh cắp thông tin.

Raccoon infostealer V2 là gì?

Raccoon Stealer là một loại phần mềm độc hại đánh cắp nhiều dữ liệu khác nhau từ một máy tính bị nhiễm. Đây là một phần mềm độc hại khá cơ bản, nhưng tin tặc đã khiến Raccoon trở nên phổ biến với dịch vụ tuyệt vời và điều hướng đơn giản.

Vào năm 2019, Raccoon infostealer là một trong những phần mềm độc hại được thảo luận nhiều nhất. Để đổi lấy 75 đô la mỗi tuần và 200 đô la mỗi tháng, tội phạm mạng đã bán kẻ đánh cắp thông tin đơn giản nhưng linh hoạt này dưới dạng MaaS. Phần mềm độc hại đã thành công trong việc tấn công một số hệ thống. Tuy nhiên, vào tháng 3 năm 2022, các tác giả mối đe dọa đã ngừng hoạt động.

Phiên bản cập nhật của phần mềm độc hại này đã được phát hành vào tháng 7 năm 2022. Kết quả là, Raccoon Stealer V2 đã lan truyền và có được một cái tên mới - RecordBreaker.

Cách phân tích kẻ trộm Raccoon V2

Quy trình thực hiện

Phần mềm độc hại Raccoon làm gì

Tải xuống thư viện WinAPI

Sử dụng kernel32.dll! Tải Thư việnW

Nhận địa chỉ của hàm WinAPI

Sử dụng kernel32.dll! GetProcĐịa chỉ

Mã hóa chuỗi và máy chủ C2

Mã hóa bằng thuật toán RC4 hoặc XOR, hoàn toàn không thể mã hóa hoặc kết hợp các tùy chọn khác nhau

Kích hoạt sự cố

Ngôn ngữ các nước CIS, mutex

Kiểm tra đặc quyền cấp hệ thống/LocalSystem

Sử dụng Advapi32.dll! GetTokenInformation và Advapi32.dll! ConvertSidToStringSidW so sánh StringSid với L "S-1-5-18"

Liệt kê quy trình

Sử dụng API TlHelp32 (kernel32.dll! CreateToolhelp32Snapshot để nắm bắt các quy trình và kernel32.dll! Process32Đầu tiên / kernel32.dll! Process32Kế tiếp).

Kết nối với máy chủ C2

Tạo một string:
machineId={machineguid}| {tên người dùng}&configId={rc4_c2_key}

Sau đó gửi yêu cầu POST

Thu thập dữ liệu người dùng và hệ thống

  • độ bit của hệ điều hành
  • thông tin về RAM, CPU
  • Các ứng dụng được cài đặt trong hệ thống
  • Cookie
  • Dữ liệu tự động điền
  • Dữ liệu biểu mẫu tự động điền

Gửi dữ liệu đã thu thập

POST yêu cầu lên C2.

Nhận câu trả lời từ C2

C2 gửi "đã nhận"

Hoạt động hoàn thiện

Chụp ảnh màn hình, phát hành các tài nguyên được phân bổ còn lại, dỡ các thư viện và hoàn thành công việc của nó

Chúng tôi đã phân loại nhiều mẫu Raccoon stealer V2, thu thập các hoạt động hành vi điển hình và mô tả ngắn gọn quá trình thực thi của nó.

Đọc sâu hơn và chi tiết hơn Phân tích phần mềm độc hại Raccoon stealer 2.0. Trong bài viết, bạn có thể làm theo tất cả các bước và có được bức tranh toàn cảnh về hành vi của kẻ đánh cắp thông tin. Bên cạnh nghiên cứu sâu sắc này, bạn có cơ hội tự mình trích xuất cấu hình phần mềm độc hại - sao chép tập lệnh Python của kẻ đánh cắp Raccoon và giải nén các kết xuất bộ nhớ để trích xuất các máy chủ và khóa C&C.

Nơi phân tích phần mềm độc hại

Bạn có muốn phân tích các tệp và liên kết độc hại không? Có một giải pháp nhanh chóng và dễ dàng: nhận các cấu hình làm sẵn trong BẤT KỲ. CHẠY hộp cát phần mềm độc hại trực tuyến và điều tra các tệp đáng ngờ từ trong ra ngoài. Cố gắng bẻ khóa bất kỳ phần mềm độc hại nào bằng cách sử dụng phương pháp tương tác:

Bất kỳ. Hộp cát RUN cho phép bạn phân tích phần mềm độc hại một cách nhanh chóng, điều hướng qua quá trình nghiên cứu dễ dàng, phát hiện ngay cả phần mềm độc hại tinh vi và nhận báo cáo chi tiết. Sử dụng các công cụ thông minh và săn phần mềm độc hại thành công.

Mới hơn Cũ hơn