Home » News » Cybersecurity » Neue Analyse des Raccoon-Passwort-Stealers

Neue Analyse des Raccoon-Passwort-Stealers

Seit Anfang dieses Jahres verbreiten Bedrohungsakteure die Raccoon-Stealer-Malware, welche unter anderem Zugangsdaten aus Browser-Applikationen, Zugriffsdaten für Mailkonten, Kreditkarteninformationen und Information zu Krypto Wallets abgreift.

1 Min. Lesezeit
Foto: ©AdobeStock/Przemek Klos

Seit Anfang dieses Jahres verbreiten Bedrohungsakteure die Raccoon-Stealer-Malware, welche unter anderem Zugangsdaten aus Chrome- und Mozilla-basierten Applikationen, Zugriffsdaten für Mailkonten, Kreditkarteninformationen sowie Information zu Krypto Wallets in Browsererweiterungen und von einer Festplatte abgreift.

Hacker verbreiten mit dem RIG-Exploit Kit verschiedene Malware über Browser Exploits, insbesondere über verwundbare Versionen des Internet Explorer 11. Sicherheitsexperten beobachteten den Passwort-Stealer Raccoon Stealer zum ersten Mal im April 2019. Zerofox, Cyberint und Avast haben bereits ältere Varianten der Malware beschrieben, die in Untergrundforen zum Teil für 200 Dollar Monatsmiete als Malware-as-a-Service erhältlich waren.

Zugriffsdaten und Kryptowährungen im Fokus

Das aktuell von den Bitdefender-Experten analysierte RIG Exploit Kit nützt die Sicherheitslücke CVE-2021-26411 aus. Die Malware greift verschiedene Anwendungen an, um Passwörter und andere Informationen zu stehlen. Bei Chrome-basierten Browsern sucht sie nach den sensiblen Daten in den SQLite-Datenbanken. Mit Hilfe der legitimen sqlite3.dll-Library spähen die Angreifer Login-Informationen, Broser-Cookies und -Historie sowie Kreditkarteninformationen aus. Von Mozilla-basierten Applikationen fragt die Malware alle benötigten Libraries ab, um sensitive Informationen aus den SQLite-Datenbanken zu entschlüsseln und zu extrahieren. Außerdem halten die Angreifer nach verbreiteten Applikationen für Kryptowährungen wie Wallets und ihre Standard-Lokationen (wie etwa Exodus, Monero, Jaxx oder Binance) Ausschau. Zugleich sucht die Malware nach sämtlichen wallet.dat-Dateien. Die Cyberkriminellen sammeln Login-Daten von E-Mail-Nutzern (auch aus Microsoft Outlook) oder Daten von Password-Managern.

Die Experten der Bitdefender Labs beschreiben in ihrer Analyse, wie das RIG Exploit Kit die Sicherheitslücke ausnutzt und beginnt, den Code auszuführen. Das Malware-Sample ist in mehreren Verschlüsselungsebenen eingepackt, um sich besser zu tarnen und das Reverse Engineering zu erschweren. Vor dem Ausführen identifiziert der Raccoon Stealer die ursprüngliche lokal eingestellte Anwendersprache: Ist sie russisch, ukrainisch, weißrussisch, kasachisch, kirgisisch, armenisch, tadschikisch oder usbekisch, wird die Malware nicht ausgeführt. Die Analyse beschreibt zudem die Erstkommunikation mit dem Command-and-Control- (C&C)-Server.

Die vollständige technische Analyse zum Raccoon-Stealer gibt es hier.

Andere interessante News

Handy Betrug

Vorsicht Abzocke: Hype um iPhone-16-Release lockt Betrüger

Mit dem Hype um den Release des neuen iPhone 16 nutzen Cyberkriminelle die Begeisterung der Apple-Fans schamlos aus: Sie locken ahnungslose Nutzer mit Möglichkeiten für (gefälschte...

Phishing-Mail

Warnung: Mobile Phishing-Angriffe nehmen massiv zu

Vier von fünf Phishing-Seiten zielen speziell auf mobile Geräte ab. Mobile Phishing umfasst Methoden wie SMS-Phishing (Smishing), Voice-Phishing (Vishing), App-, E-Mail- und Social...

Gefahr im Rechenzentrum

Rekonvaleszenz nach einem Ransomware-Angriff langwierig

Die Dauer eines Ransomware-Angriffs und die anschließende Wiederherstellung variieren stark. Das liegt zum Teil daran, dass es keine einheitliche Quelle für alle Informationen gibt...