Infostealer，我們通常稱之為“間諜軟件”，它是衆多惡意軟件中的一種，能夠從受感染系統中竊取各種敏感數據，包括登錄憑證、個人信息、财務信息，等等。

盡管能夠竊取高價值數據，但間諜軟件的編碼往往并不複雜。在暗網市場上，你甚至隻需要花上幾美元就能夠購買到一款制作精良的間諜軟件，這也就是我們常說的“惡意軟件即服務（MaaS）”。

在去年11月份，我們就曾為大家詳細介紹了以惡意軟件即服務形式出售的RACCOON間諜軟件，其開發者不僅提供完全有效的軟件包，而且還免費提供長期的技術支持（包括但不限于bug修複和軟件更新）。

就在一個月前，有關新版RACCOON間諜軟件的營銷廣告開始出現在此前的俄羅斯黑客論壇上。根據廣告描述，RACCOON的開發者此次為它新增了能夠從FileZilla（一款免費開源的FTP客戶端軟件）中竊取FTP服務器憑證以及從UC浏覽器中竊取登錄憑證的能力。

此外，RACCOON的面闆此次也得到了改進，一些UI問題已得到修複，并且還新增加了一個選項，允許購買者通過面闆直接加密構建并将其下載為DLL文件。

圖1.有關新版RACCOON介紹的帖子

RACCOON，也被稱為“ Mohazo”或“ Racealer”，于2019年4月首次被發現。分析表明，它能夠從近60款常用軟件中竊取敏感數據，包括登錄憑證、支付卡信息、加密貨币錢包以及浏覽器信息（cookie、曆史記錄、自動填充）。

目标浏覽器如下：

• Google Chrome
• Google Chrome (Chrome SxS)
• Chromium
• Xpom
• Comodo Dragon
• Amigo
• Orbitum
• Bromium
• Nichrome
• RockMelt
• 360Browser
• Vivaldi
• Opera
• Sputnik
• Kometa
• Uran
• QIP Surf
• Epic Privacy
• CocCoc
• CentBrowser
• 7Star
• Elements
• TorBro
• Suhba
• Safer Browser
• Mustang
• Superbird
• Chedot
• Torch
• Internet Explorer
• Microsoft Edge
• Firefox
• WaterFox
• SeaMonkey
• PaleMoon

目标電子郵箱客戶端如下：

• ThunderBird
• Outlook
• Foxmail

目标加密貨币錢包如下：

• Electrum
• Ethereum
• Exodus
• Jaxx
• Monero
• Bither

調查顯示，RACCOON主要通過以下兩種方式之一進行傳播：

1.漏洞利用工具包

一旦受害者訪問了惡意頁面，就會被重定向到包含漏洞利用代碼的登錄頁面，進而導緻感染RACCOON，感染鍊如下圖所示：

圖2. 借助Fallout漏洞利用工具包傳播RACCOON

2.網絡釣魚活動

釣魚電子郵件所攜帶的附件通常是一份Ofiice文檔，一旦打開，内嵌的惡意宏代碼就會執行，然後創建與惡意域的連接，最後下載RACCOON。

圖3.借助網絡釣魚電子郵件傳播RACCOON

在竊取到所需的數據後，RACCOON會将它們彙總到一個名為“Log.Zip”的壓縮文件中。然後，它将要做的就是将zip文件發送回C＆C服務器并删除所有痕迹。

圖4.Zip文件内容

除竊取數據外，RACCOON具有下載文件的功能。也就是說，它還可以被用于将其他惡意軟件下載到受感染系統中，進而執行更多的惡意操作（從loader_urls注冊表項中獲取URL，将文件下載到temp文件夾下，并通過使用文件路徑調用ShellExecuteA來執行文件）。

低廉的價格（每周75美元，每月200美元）、豐富的價格、完善的配套服務，RACCOON自上架以來已經獲得了大批客戶。

不得不說，惡意軟件即服務的确大大降低了網絡犯罪的門檻。無需掌握太多的黑客技術，僅僅花上幾百美元，甚至幾美元就可以輕松完成這一切。

近年來，盡管全球多國有關當局都加大了對暗網市場的打擊力度。但事實證明，這條路似乎還十分漫長。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!