Bitdefender の専門家が、Raccoon Password Stealer の分析を準備しました。 最も驚くべきことは、ロシア語またはウクライナ語がローカル ユーザー言語として設定されている場合、マルウェアがシステムで起動しないことです。
ハッカーは RIG エクスプロイト キットを使用して、ブラウザーのエクスプロイト、特に脆弱なバージョンの Internet Explorer 11 を介してさまざまなマルウェアを拡散します。 、ChromeおよびMozillaベースのアクセスデータアプリケーション、メールアカウントのアクセスデータ、クレジットカード情報、およびブラウザ拡張機能とハードドライブからの暗号ウォレットに関する情報を使用します。
2019 年以降、アライグマのパスワード スティーラーが注目されています
セキュリティの専門家は、2019 年 200 月にパスワード スティーラーの Raccoon を初めて観測しました。Zerofox、Cyberint、および Avast は、このマルウェアの古い亜種をすでに報告しており、その一部はアンダーグラウンド フォーラムで Malware-as-a-Service として入手でき、一部は月額 XNUMX ドルで入手できました。
Bitdefender の専門家によって現在分析されている RIG Exploit Kit は、CVE-2021-26411 の脆弱性を悪用します。 展開されると、マルウェアはさまざまなアプリケーションを攻撃して、パスワードやその他の情報を盗みます。 Chrome ベースのブラウザでは、SQLite データベースで機密データを探します。 正規の sqlite3.dll ライブラリを使用して、攻撃者はログイン情報、ブラウザの Cookie と履歴、およびクレジット カード情報を盗聴します。
アクセスデータのスパイ
マルウェアは、SQLite データベースから機密情報を解読して抽出するために、Mozilla ベースのアプリケーションから必要なすべてのライブラリを照会します。 さらに、攻撃者は、ウォレットやそのデフォルトの場所 (Exodus、Monero、Jaxx、Binance など) などの暗号通貨の一般的なアプリケーションを探しています。 同時に、マルウェアはすべての wallet.dat ファイルを検索します。 サイバー犯罪者は、電子メール ユーザー (Microsoft Outlook からも) からログイン データを収集したり、パスワード マネージャーからデータを収集したりします。
ロシア語とウクライナ語のユーザー言語では、マルウェア コードは実行されません
Bitdefender Labs の専門家は分析の中で、RIG エクスプロイト キットがどのように脆弱性を悪用し、コードの実行を開始するかを説明しています。 マルウェア サンプルは、ステルス性を高め、リバース エンジニアリングをより困難にするために、複数の暗号化レイヤーでラップされています。 Raccoon Stealer は、実行前に元のローカル ユーザー言語を識別します。それがロシア語、ウクライナ語、ベラルーシ語、カザフ語、キルギス語、アルメニア語、タジク語、またはウズベク語である場合、マルウェアは実行されません。 この分析では、コマンド アンド コントロール (C&C) サーバーとの最初の通信についても説明します。
Bitdefender.com の PDF 以上
Bitdefenderについて Bitdefender は、サイバーセキュリティ ソリューションとウイルス対策ソフトウェアのグローバル リーダーであり、500 か国以上で 150 億を超えるシステムを保護しています。 2001 年の設立以来、同社のイノベーションは、優れたセキュリティ製品と、デバイス、ネットワーク、およびクラウド サービスのインテリジェントな保護を、個人の顧客や企業に定期的に提供してきました。 最適なサプライヤーとして、Bitdefender テクノロジは、世界で展開されているセキュリティ ソリューションの 38% で使用されており、業界の専門家、メーカー、および顧客から信頼され、認められています。 www.bitdefender.de