Neue Analyse des Raccoon-Passwort-Stealers

Seit Anfang dieses Jahres verbreiten Bedrohungsakteure die Raccoon-Stealer-Malware, welche unter anderem Zugangsdaten aus Chrome- und Mozilla-basierten Applikationen, Zugriffsdaten für Mailkonten, Kreditkarteninformationen sowie Information zu Krypto Wallets in Browsererweiterungen und von einer Festplatte abgreift.

Hacker verbreiten mit dem RIG-Exploit Kit verschiedene Malware über Browser Exploits, insbesondere über verwundbare Versionen des Internet Explorer 11. Sicherheitsexperten beobachteten den Passwort-Stealer Raccoon Stealer zum ersten Mal im April 2019. Zerofox, Cyberint und Avast haben bereits ältere Varianten der Malware beschrieben, die in Untergrundforen zum Teil für 200 Dollar Monatsmiete als Malware-as-a-Service erhältlich waren.

Zugriffsdaten und Kryptowährungen im Fokus

Das aktuell von den Bitdefender-Experten analysierte RIG Exploit Kit nützt die Sicherheitslücke CVE-2021-26411 aus. Die Malware greift verschiedene Anwendungen an, um Passwörter und andere Informationen zu stehlen. Bei Chrome-basierten Browsern sucht sie nach den sensiblen Daten in den SQLite-Datenbanken. Mit Hilfe der legitimen sqlite3.dll-Library spähen die Angreifer Login-Informationen, Broser-Cookies und -Historie sowie Kreditkarteninformationen aus. Von Mozilla-basierten Applikationen fragt die Malware alle benötigten Libraries ab, um sensitive Informationen aus den SQLite-Datenbanken zu entschlüsseln und zu extrahieren. Außerdem halten die Angreifer nach verbreiteten Applikationen für Kryptowährungen wie Wallets und ihre Standard-Lokationen (wie etwa Exodus, Monero, Jaxx oder Binance) Ausschau. Zugleich sucht die Malware nach sämtlichen wallet.dat-Dateien. Die Cyberkriminellen sammeln Login-Daten von E-Mail-Nutzern (auch aus Microsoft Outlook) oder Daten von Password-Managern.

Die Experten der Bitdefender Labs beschreiben in ihrer Analyse, wie das RIG Exploit Kit die Sicherheitslücke ausnutzt und beginnt, den Code auszuführen. Das Malware-Sample ist in mehreren Verschlüsselungsebenen eingepackt, um sich besser zu tarnen und das Reverse Engineering zu erschweren. Vor dem Ausführen identifiziert der Raccoon Stealer die ursprüngliche lokal eingestellte Anwendersprache: Ist sie russisch, ukrainisch, weißrussisch, kasachisch, kirgisisch, armenisch, tadschikisch oder usbekisch, wird die Malware nicht ausgeführt. Die Analyse beschreibt zudem die Erstkommunikation mit dem Command-and-Control- (C&C)-Server.

Die vollständige technische Analyse zum Raccoon-Stealer gibt es hier.