Home » News » Cybersecurity » Neue Analyse des Raccoon-Passwort-Stealers

Neue Analyse des Raccoon-Passwort-Stealers

Seit Anfang dieses Jahres verbreiten Bedrohungsakteure die Raccoon-Stealer-Malware, welche unter anderem Zugangsdaten aus Browser-Applikationen, Zugriffsdaten für Mailkonten, Kreditkarteninformationen und Information zu Krypto Wallets abgreift.

1 Min. Lesezeit
Eine Person tippt auf einem Laptop. Der dunkle Bildschirm zeigt Code an, was auf Raccoon-Stealer-Aktivitäten hindeutet. Eine Spiegelung zeigt rot gefärbte Hände, was auf Hacking oder Cybersicherheit hindeutet. Ein größerer Monitor darüber spiegelt diese Anzeige wider, umgeben von einem dunkelblauen Ambiente.
Foto: ©AdobeStock/Przemek Klos

Seit Anfang dieses Jahres verbreiten Bedrohungsakteure die Raccoon-Stealer-Malware, welche unter anderem Zugangsdaten aus Chrome- und Mozilla-basierten Applikationen, Zugriffsdaten für Mailkonten, Kreditkarteninformationen sowie Information zu Krypto Wallets in Browsererweiterungen und von einer Festplatte abgreift.

Hacker verbreiten mit dem RIG-Exploit Kit verschiedene Malware über Browser Exploits, insbesondere über verwundbare Versionen des Internet Explorer 11. Sicherheitsexperten beobachteten den Passwort-Stealer Raccoon Stealer zum ersten Mal im April 2019. Zerofox, Cyberint und Avast haben bereits ältere Varianten der Malware beschrieben, die in Untergrundforen zum Teil für 200 Dollar Monatsmiete als Malware-as-a-Service erhältlich waren.

Zugriffsdaten und Kryptowährungen im Fokus

Das aktuell von den Bitdefender-Experten analysierte RIG Exploit Kit nützt die Sicherheitslücke CVE-2021-26411 aus. Die Malware greift verschiedene Anwendungen an, um Passwörter und andere Informationen zu stehlen. Bei Chrome-basierten Browsern sucht sie nach den sensiblen Daten in den SQLite-Datenbanken. Mit Hilfe der legitimen sqlite3.dll-Library spähen die Angreifer Login-Informationen, Broser-Cookies und -Historie sowie Kreditkarteninformationen aus. Von Mozilla-basierten Applikationen fragt die Malware alle benötigten Libraries ab, um sensitive Informationen aus den SQLite-Datenbanken zu entschlüsseln und zu extrahieren. Außerdem halten die Angreifer nach verbreiteten Applikationen für Kryptowährungen wie Wallets und ihre Standard-Lokationen (wie etwa Exodus, Monero, Jaxx oder Binance) Ausschau. Zugleich sucht die Malware nach sämtlichen wallet.dat-Dateien. Die Cyberkriminellen sammeln Login-Daten von E-Mail-Nutzern (auch aus Microsoft Outlook) oder Daten von Password-Managern.

Die Experten der Bitdefender Labs beschreiben in ihrer Analyse, wie das RIG Exploit Kit die Sicherheitslücke ausnutzt und beginnt, den Code auszuführen. Das Malware-Sample ist in mehreren Verschlüsselungsebenen eingepackt, um sich besser zu tarnen und das Reverse Engineering zu erschweren. Vor dem Ausführen identifiziert der Raccoon Stealer die ursprüngliche lokal eingestellte Anwendersprache: Ist sie russisch, ukrainisch, weißrussisch, kasachisch, kirgisisch, armenisch, tadschikisch oder usbekisch, wird die Malware nicht ausgeführt. Die Analyse beschreibt zudem die Erstkommunikation mit dem Command-and-Control- (C&C)-Server.

Die vollständige technische Analyse zum Raccoon-Stealer gibt es hier.

Andere interessante News

Cyber-Resilienz Konzept auf Laptop in Serverraum

Wie Unternehmen ihre Cyber-Resilienz stärken können

Immer mehr Sicherheitsverantwortliche fordern: Die Risikobewertung von Drittanbietern muss fester Bestandteil jeder Cyber-Resilienz-Strategie werden. Einheitliche Standards fehlen ...

Virenwarnung auf dem Computerbildschirm

Report: Exploits bleiben häufigster Angriffsvektor für Erstinfektionen

Ein neuer, tiefgreifender Report bündelt die wichtigsten Erkenntnisse des Jahres 2024 – direkt aus den Schaltzentralen weltweiter Cyberermittlungen und aus dem Krisenmanagement nac...

Reihe von Netzwerkservern mit leuchtenden LED-Lichtern.

Warum starke IT nicht automatisch für Sicherheit steht

Vier von fünf Beschäftigten vertrauen auf die Kompetenz ihrer IT-Abteilung – doch genau dieses Vertrauen kann trügen. Werden Investitionen in die IT-Sicherheit vernachlässigt, stei...