浣熊偷窃者

Raccoon Infostealer（又名 Racealer）于 2019 年 4 月首次被观察到，是一种在暗网论坛上销售的简单但流行、有效且廉价的恶意软件即服务（MaaS）。Raccoon 的有效载荷是一个模块化的 C/C++ 二进制文件，旨在感染基于 Windows 的 32 位和 64 位系统。Raccoon 窃取程序的目标是浏览器自动填充密码、历史记录和 cookie、信用卡、用户名、密码、加密货币钱包和其他敏感数据。 

2022 年初，由于乌克兰战争对其成员造成的影响，"浣熊 "号的维护者暂时关闭了其运行。然而，2022 年 6 月，"浣熊 "带着更新版本返回，包括升级的基础设施和完全重建的有效载荷。2022 年 10 月，乌克兰 "浣熊 "组织的一名成员因涉嫌参与 "浣熊 "的开发，被美国大陪审团以共谋违反《计算机欺诈和滥用法》的罪名起诉。26 岁的马克此前曾伪造死亡，声称在俄乌战争中丧生。

Raccoon 已造成数十万次感染，其对全球网络安全的影响堪比多产的Azorult窃取恶意软件。在高峰期，Raccoon 是黑客论坛上讨论最多的恶意软件之一，其运营商在论坛上宣传 Raccoon 并为网络犯罪分子提供客户支持。Raccoon 的 MaaS 费用仅为每周 75 美元或每月 200 美元。

执行时，Raccoon 会检查目标系统上是否存在其互斥体：%UserName% + "m$V1-xV4v"，以避免双重感染。如果未找到，Raccoon 就会创建互斥体，对目标系统进行指纹识别，并将数据发送到它的一个指挥控制（C2）前哨。Raccoon 通常使用 Telegraph 或 Discord 进行 C2 操作。Raccoon 的 C2 主机位置在有效负载中使用 base64 编码和 RC4 加密进行混淆。然后，Raccoon 使用进程注入技术劫持合法的 explorer.exe 进程，并生成权限提升的新进程。

根据目标系统的配置文件，Raccoon 会导入合法 Windows DLL 的副本，从知名应用程序中提取敏感信息，并对每个目标应用程序执行标准流程。该过程首先查找每个应用程序的敏感信息缓存，将原始缓存文件复制到临时文件夹，提取并加密缓存中的敏感数据，最后将内容写入 Raccoon 的主运行目录。 

对于浏览器，Raccoon 使用sqlite3.dll查询应用程序的 SQLite 数据库并窃取用户自动登录密码、信用卡数据、cookie 和浏览器历史记录。Raccoon 还拥有自定义模块，可从以下应用程序中窃取数据：

• 加密货币应用程序：通过在默认位置查找钱包数据文件，提取 Exodus、Monero、Jaxx、Binance 和其他加密货币
• 密码管理器：从默认位置提取 Bitwarden、1Password 和 LastPass 数据
• 电子邮件客户端：提取 Outlook、ThunderBird 和 Foxmail 中的电子邮件通信内容
• 其他应用： 提取 Steam 游戏平台数据，包括 Steam 授权或 Steam 哨兵文件，以及 Discord 和 Telegram 账户登录凭证

某些版本的 Raccoon 还能在特定条件下破解 TLS 加密，允许 Raccoon 有效地在受感染主机的互联网连接中进行中间人操控 (MiTM)。值得注意的是，某些版本的 Raccoon 会检查目标用户的语言偏好标识符，如果检测到俄语、乌克兰语、白俄罗斯语、哈萨克语、吉尔吉斯语、亚美尼亚语、塔吉克语或乌兹别克语，就会停止运行。不过，这种保护某些群体的安全措施只是偶尔采用。

防御 Raccoon Infostealer 攻击的最佳方法是在所有设备上采用先进的端点保护，并执行强大的访问控制，包括多因素身份验证，以防止被盗凭据导致账户被接管。 

一些有助于防范浣熊袭击的活动

• 考虑开展用户意识培训，让员工了解网络钓鱼技术，并制定处理可疑电子邮件和文件的标准操作程序 (SOP)。
• 实施强大的网络安全，包括最小权限、基于角色的访问控制、多因素身份验证和深度防御，以减少凭证被盗可能造成的破坏 
• 在所有端点上安装和配置高级端点安全产品，以检测入侵迹象 (IOC)，并采取防御措施阻止 Raccoon 有效载荷的执行
• 尽可能实施零信任解决方案，优先考虑关键系统