Raccoon浣熊病毒利用Google Cloud Services及多種派送技術竊取帳密 、信用卡等資訊

Raccoon是在2019年4月崛起的惡意軟體即服務(MaaS)。儘管Raccoon的功能簡單,但卻在網路犯罪分子之間廣為流行,且在一份惡意軟體流行度報告中被稱為地下論壇裡值得注意的新興惡意軟體。

此惡意軟體可以竊取登錄帳密、信用卡資訊、虛擬貨幣錢包及瀏覽器資訊。 Raccoon具備了基本的資訊竊取功能,而事實證明積極的行銷加上良好的整體使用者體驗足以彌補其不足之處。該服務也相對地便宜,價格從每週75美元到每月200美元不等。

它能夠利用各種交付技術(如漏洞攻擊套件、網路釣魚或和其他惡意軟體綁在一起)到達系統。我們在本文中調查了使用漏洞攻擊套件Fallout和Rig的攻擊活動,同時看到其用Google Drive作為躲避偵測的手段之一。

漏洞攻擊套件

我們在2019年7月和10月記錄到Rig漏洞攻擊套件及兩起Fallout漏洞攻擊套件案例會植入Raccoon竊取病毒。下表總結了這三起案例的感染鏈。

Fallout
2019年10月31日
Fallout
2019年10月10日
Rig
2019年7月15日
到達 Malvertisement
maximili[.]com (173.254.98.143)
Malvertisement
hxxps://biome.es/php.php (31.31.198.19)
Ad Network
hxxp://p201298[.]mybetterdl[.]com/adServe/domainClick?{redacted}
hxxp://mybetterdl[.]com/aS/feedclick?{redacted}
轉址 hxxps://coliqiou[.]com/gzJrZZ?&se_referrer= (5.188.60.95) hxxp://makemoneyeazywith[.]me/?utm_trc=ASIA{redacted}
漏洞攻擊套件網址 hxxp://getyourfree[.]cloud/3966/rerelease-8383/24-07-1920[.]aspx (134.209.185.112) hxxps://germanrights4u[.]com/2010-03-08/ypiNv/unengaged?PdohQ=UEmE (104.248.32.22) hxxp://185[.]246[.]65[.]115/?MzkxMTg3&pbcHJYg&Cb{redacted}
植入的Racoon 惡意軟體(SHA256) c0127722274b1b821443ee5d6a8f59e7d01e75eb32c41b8a74a11e950d6bbf80 697706505adf5b5d051eddb1047cd158f6488c54a113a71c0a38942c7d29d91e 1f2f7f34743b5869f37398d0427875bc34b4244d6094298aa828a6af63730b72
C&C 伺服器 hxxp://35[.]189[.]105[.]242/file_handler/file[.]php?{redacted} hxxp://34[.]89[.]185[.]248/file_handler/file[.]php?{redacted} hxxp://34[.]65[.]241[.]219/file_handler2/file[.]php?{redacted}  

表1. 兩個漏洞攻擊套件的感染鏈

一旦Raccoon惡意軟體感染電腦後,便會連到Google雲端硬碟來解密實際的C&C伺服器。網址格式為hxxp://{IP}/gate/log.php,用來記錄電腦設定資訊。接著它會收到包含位置資訊的JSON格式檔案。下一步它會連到網址hxxp://{IP}/file_handler/file.php來進行資料滲出。最後它會從hxxp://{IP}/gate/libs.zip下載類似FoxMail的組件,並從hxxp://{IP}/gate/sqlite3.dll下載解析瀏覽器資料用的SQLite程式庫。

趨勢科技確認了67個作為C&C伺服器的IP地址。根據IP地址的組織ID,可以看出攻擊者利用Google Cloud Services託管了許多C&C。這種作法讓攻擊者可以躲避偵測,因為它偽裝成來自Google的合法流量。

值得注意的是並非所有IP地址都與Google有關。像是有一個來自立陶宛的IP(176[.]223[.]143[.]5)被解析為網域raccoon-gate[.]site[.]。也有其他Raccoon樣本曾經連到此C&C伺服器並會植入另一種惡意軟體,就是資料竊取病毒Predator the Thief。

垃圾郵件活動

趨勢科技最近也偵測到惡意垃圾郵件活動的激增。包括帶有Raccoon惡意軟體(偵測為TrojanSpy.Win32.RACEALER.M)的垃圾郵件。這些郵件聲稱收件者的朋友電子郵箱被寄件者或其他團體入侵,要求以金錢換取他們聲稱已取得的被竊敏感資訊。

圖1. 夾帶Raccoon惡意軟體的垃圾郵件樣本

這波活動的一個樣本會從C&C伺服器下載竊取資訊所需的程式庫。除了下載程式庫之外,Raccoon樣本還從hxxp://hrcorp1[.]site/signed.exe下載了執行檔。接著此組件會植入並解壓縮檔案help.zip,裡面包含了適如其名的PowerShell腳本 – evil.ps1。

圖2. Raccoon竊取病毒內的字串,顯示會從某些瀏覽器竊取資訊

影響與活動

自2019年4月以來,趨勢科技已經偵測到100,000多起Raccoon相關的事件。在2019年7月看到了偵測高峰,這可能反映出當時正在使用該服務的買家數量。受影響最大的國家是印度和日本。印度似乎已經成為此類攻擊的熱門目標,而最近被竊的卡片資料出現在Jokerstash地下市場上販賣。美洲其他國家也受到影響,特別是哥倫比亞、加拿大、美國、墨西哥、玻利維亞和秘魯。

圖3. 自2019年4月以來受Raccoon惡意軟體影響的國家

自2019年第二季以來,我們已經確認了3,000餘個不重複的Raccoon(Racestealer)竊取病毒樣本。病毒作者自第一個版本問世以來就一直持續地在地下論壇發布新版本。

圖4. 不重複Raccoon樣本數量 (截至3月23日的第一季資料)

結論

Raccoon MaaS在網路犯罪分子間受歡迎的部分原因是該服務主動的客戶支援彌補了功能的簡單。根據Cyber​​eason的報告,MaaS得到使用者的普遍好評。許多人認為它可以用來替代已不再繼續的AZORult竊取病毒,該竊取程式在鼎盛時期相當受歡迎。

Raccoon惡意軟體現在的活動似乎表示惡意份子會繼續地開發和使用它。對病毒作者來說,下一個最該做的事情可能是改良並修復某些錯誤,然後在相對基本的功能中添加新技術。

當病毒作者進一步開發Raccoon時,購買Raccoon服務的惡意份子可能會用現今在地下市場可用的版本來計劃或部署攻擊。企業應對Raccoon惡意軟體保持警覺,並就Raccoon所可能採取的多種已知部署方法找出對應防禦措施的線索。

趨勢科技解決方案

企業可以用趨勢科技Apex One™來得到防護,透過各種威脅偵測功能(如行為分析)來提供可操作的見解、擴展的調查功能及橫跨網路的中央能見度,這些功能可以抵禦惡意腳本、注入、勒索病毒、記憶體和瀏覽器攻擊。

趨勢科技的Deep Discovery Inspector可以利用下列DDI規則來保護客戶抵禦此種攻擊:

  • Rule 4364: “RACCOON – HTTP (REQUEST)”

入侵指標(IoC

SHA256 偵測名稱
3787e7d0d8fd8496bf1425a05dddf8f6f0fee7d8782a2e6bd46a91239986171f TrojanSpy.Win32.RACEALER.E
48957252e011d2763e6f9ec5499e011d38c9f06b1c3fb6084c0255422d01dafe Trojan.Win32.RACEALER.AB
6e2bcde33b15acb157a38a857b5391d497a3f647ee02cb7da76cb82cb9b434f2 TrojanSpy.MSIL.RACOONSTIL.A
b4fbcced40a53bf818d6d13d0dde9147ddd17e423fe4d3d2a80401035b571112 TrojanSpy.Win32.RACEALER.M
網址
hxxp://drive[.]google[.]com/uc?export=download&id=1QQXAXArU8BU4kJZ6IBsSCCyLtmLftiOV – contains encrypted C&C server URL:
hxxp://35[.]228[.]215[.]155/gate/log[.]php
hxxp://35[.]228[.]215[.]155/gate/sqlite3[.]dll
hxxp://35[.]228[.]215[.]155/gate/libs[.]zip
hxxp://35[.]228[.]215[.]155/file_handler/file[.]php?hash={redacted}
hxxp://34[.]77[.]125[.]60/gate/sqlite3[.]dll
hxxp://34[.]77[.]125[.]60/gate/libs[.]zip
hxxp://hrcorp1[.]site/signed[.]exe

@原文出處:Raccoon Stealer’s Abuse of Google Cloud Services and Multiple Delivery Techniques   作者:Paul Pajares(詐騙分析員)

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FBIGYoutubeLINE官網