Hacker verbreiten mit dem RIG-Exploit-Kit verschiedene Malware über Browser-Exploits, insbesondere über verwundbare Versionen des Internet-Explorer 11. Seit Anfang diesen Jahres verbreiten die Hintermänner neuer Angriffe die Raccoon-Stealer-Malware, welche unter anderem Zugangsdaten aus Chrome- und Mozilla-basierten Applikationen, Zugriffsdaten für Mailkonten, Kreditkarteninformationen sowie Information zu Krypto-Wallets in Browsererweiterungen und von einer Festplatte abgreift.
Sicherheitsexperten beobachteten den Passwort-Stealer Raccoon-Stealer zum ersten Mal im April 2019. Zerofox, Cyberint und Avast haben bereits ältere Varianten der Malware beschrieben, die in Untergrundforen zum Teil für 200 Dollar Monatsmiete als Malware-as-a-Service erhältlich waren.
Spionage von Zugriffsdaten
Das aktuell von den Bitdefender-Experten analysierte RIG-Exploit-Kit nutzt die Sicherheitslücke CVE-2021-26411 aus. Die Malware greift einmal implementiert verschiedene Anwendungen an, um Passwörter und andere Informationen zu stehlen. Bei Chrome-basierten Browsern sucht sie nach den sensiblen Daten in den SQLite-Datenbanken. Mit Hilfe der legitimen sqlite3.dll-Library spähen die Angreifer Login-Informationen, Browser-Cookies und -Historie sowie Kreditkarteninformationen aus. Von Mozilla-basierten Applikationen fragt die Malware alle benötigten Libraries ab, um sensitive Informationen aus den SQLite-Datenbanken zu entschlüsseln und zu extrahieren. Außerdem halten die Angreifer nach verbreiteten Applikationen für Kryptowährungen wie Wallets und ihre Standard-Lokationen (wie etwa Exodus, Monero, Jaxx oder Binance) Ausschau. Zugleich sucht die Malware nach sämtlichen wallet.dat-Dateien. Die Cyberkriminellen sammeln Login-Daten von E-Mail-Nutzern (auch aus Microsoft Outlook) oder Daten von Password-Managern.
Bei russischer und ukrainischer Anwendersprache keine Exekution des Malware Code
Die Experten der Bitdefender Labs beschreiben in ihrer Analyse, wie das RIG-Exploit-Kit die Sicherheitslücke ausnutzt und beginnt, den Code auszuführen. Das Malware-Sample ist in mehreren Verschlüsselungsebenen eingepackt, um sich besser zu tarnen und das Reverse-Engineering zu erschweren. Vor dem Ausführen identifiziert der Raccoon-Stealer die ursprüngliche lokal eingestellte Anwendersprache: Ist sie russisch, ukrainisch, weißrussisch, kasachisch, kirgisisch, armenisch, tadschikisch oder usbekisch, wird die Malware nicht ausgeführt. Die Analyse beschreibt zudem die Erstkommunikation mit dem Command-and-Control- (C&C)-Server.
Info: Die vollständige technische Analyse zum Raccoon-Stealer findet sich hier: https://www.bitdefender.com/files/News/CaseStudies/study/417/Bitdefender-PR-Whitepaper-Raccoon-creat6205-en-EN.pdf
#Bitdefender
