Die Experten von Bitdefender haben eine Analyse des Raccoon Passwort Stealer erstellt. Das erstaunlichste dabei: sofern Russisch oder Ukrainisch als lokaler Anwendersprache eingestellt ist, erfolgt kein Start der Malware im System.
Hacker verbreiten mit dem RIG-Exploit Kit verschiedene Malware über Browser Exploits, insbesondere über verwundbare Versionen des Internet Explorer 11. Seit Anfang diesen Jahres verbreiten die Hintermänner neuer Angriffe die Raccoon-Stealer-Malware, welche unter anderem Zugangsdaten aus Chrome- und Mozilla-basierten Applikationen, Zugriffsdaten für Mailkonten, Kreditkarteninformationen sowie Information zu Krypto Wallets in Browsererweiterungen und von einer Festplatte abgreift.
Raccoon Passwort Stealer seit 2019 im Fokus
Sicherheitsexperten beobachteten den Passwort-Stealer Raccoon zum ersten Mal im April 2019. Zerofox, Cyberint und Avast haben bereits ältere Varianten der Malware beschrieben, die in Untergrundforen zum Teil für 200 Dollar Monatsmiete als Malware-as-a-Service erhältlich waren.
Das aktuell von den Bitdefender-Experten analysierte RIG Exploit Kit nützt die Sicherheitslücke CVE-2021-26411 aus. Die Malware greift einmal implementiert verschiedene Anwendungen an, um Passwörter und andere Informationen zu stehlen. Bei Chrome-basierten Browsern sucht sie nach den sensiblen Daten in den SQLite-Datenbanken. Mit Hilfe der legitimen sqlite3.dll-Library spähen die Angreifer Login-Informationen, Broser-Cookies und -Historie sowie Kreditkarteninformationen aus.
Spionage von Zugriffsdaten
Von Mozilla-basierten Applikationen fragt die Malware alle benötigten Libraries ab, um sensitive Informationen aus den SQLite-Datenbanken zu entschlüsseln und zu extrahieren. Außerdem halten die Angreifer nach verbreiteten Applikationen für Kryptowährungen wie Wallets und ihre Standard-Lokationen (wie etwa Exodus, Monero, Jaxx oder Binance) Ausschau. Zugleich sucht die Malware nach sämtlichen wallet.dat-Dateien. Die Cyberkriminellen sammeln Login-Daten von E-Mail-Nutzern (auch aus Microsoft Outlook) oder Daten von Password-Managern.
Bei russischer und ukrainischer Anwendersprache keine Exekution des Malware Code
Die Experten der Bitdefender Labs beschreiben in ihrer Analyse, wie das RIG Exploit Kit die Sicherheitslücke ausnutzt und beginnt, den Code auszuführen. Das Malware-Sample ist in mehreren Verschlüsselungsebenen eingepackt, um sich besser zu tarnen und das Reverse Engineering zu erschweren. Vor dem Ausführen identifiziert der Raccoon Stealer die ursprüngliche lokal eingestellte Anwendersprache: Ist sie russisch, ukrainisch, weißrussisch, kasachisch, kirgisisch, armenisch, tadschikisch oder usbekisch, wird die Malware nicht ausgeführt. Die Analyse beschreibt zudem die Erstkommunikation mit dem Command-and-Control- (C&C)-Server.
Mehr als PDF bei Bitdefender.com
Über Bitdefender Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de