几年前首次出现的一个凭证窃取组织现在正在滥用Telegram作为C2服务器进行网络攻击。研究人员报告说，一系列的网络犯罪分子会继续通过使用这样更有创造性的攻击手段来扩大其攻击面。

根据Avast威胁实验室在本周发表的一篇博文，2019年4月份首次出现在网络中的Raccoon Stealer已经开始在Telegram的基础设施上存储和更新自己的C2地址。研究人员说，这让他们在平台上有了一个更加方便和可靠的指挥中心，可以随时更新C2的信息。

该恶意软件据说是由与俄罗斯有关的网络犯罪分子开发和维护的。其核心工具是一个凭证窃取器，但是该工具能够进行一系列的攻击活动。它不仅可以窃取密码，还可以窃取cookie、浏览器中保存的登录信息和表单的数据、电子邮件客户端以及登录凭证、加密钱包中的文件、浏览器插件和扩展程序中的数据以及任意文件。这些都可以通过其C2命令完成。

Avast威胁实验室研究员Vladimir Martyanov在其帖子中写道，它能够通过来自其C2的命令下载和执行任意文件。这也就使得Raccoon Stealer变得更加危险。

在2019年发布后，网络犯罪分子迅速开始采用该恶意软件进行攻击，由于其用户友好的恶意软件即服务（MaaS）模式，给了他们一个更加快速和简单的方式--通过窃取敏感数据来赚钱。

创造性的传播方式

早期，攻击者通过黑客控制的Dropbox账户上托管的IMG文件，在针对金融机构和其他组织的商业电子邮件破坏（BEC）活动中提供Raccoon Stealer进行攻击。

Martyanov说，最近，Avast威胁实验室的研究人员观察到了攻击者传播Raccoon Stealer的一些更具有创造性的方式。并且他们的传播技术繁杂多样，只有你想不到的。

除了通过使用两个加载器Buer Loader和Gcleaner进行传播外，攻击者还可以通过伪造游戏作弊器、破解软件的补丁，这其中还包括了Fortnite、Valorant和NBA2K22的MOD，或者是其他软件来传播Raccoon Stealer。

他补充说，网络犯罪分子还注意通过使用Themida或恶意软件打包器来试图逃避检测，据观察，一些攻击样本连续使用同一个打包器打包次数超过了五次。

在Telegram上滥用C2

该报告详细介绍了最新版本的Raccoon Stealer是如何与Telegram内的C2进行通信的。根据该帖子，其C2通信有四个特征值，它们在每个Raccoon Stealer样本中都有硬编码。它们分别是：

MAIN_KEY，该数值在这一年中已经发生了四次改变。

Telegram gate的URL，其包含一个通道名称。

BotID，一个十六进制的字符串，每次都会被发送到C2。

TELEGRAM_KEY，一个用于解密从Telegram获得的C2地址的密钥。

为了劫持Telegram的C2，恶意软件首先需要解密出MAIN_KEY值，它可以用来解密Telegram gate的URL和BotID。Martyanov写道，攻击者然后会使用Telegram gate，通过一连串的操作，最终允许它使用Telegram基础设施来存储和更新实际的C2地址。

通过执行C2的命令来下载和执行任意文件，攻击者还能够分发恶意软件。Avast威胁实验室收集了大约185个文件，总共大小为265兆字节，其中包括下载器、剪贴板加密窃取器和WhiteBlackCrypt勒索软件，这些都是由Raccoon Stealer分发的。

避免针对俄罗斯的实体进行攻击

该恶意软件一旦开始执行，Racoon Stealer就会开始检查被感染设备上设置的默认用户语言，如果是以下语言之一，就不会执行任何操作。

俄罗斯、乌克兰、白俄罗斯、哈萨克、吉尔吉斯、亚美尼亚、塔吉克或乌兹别克。

因此研究人员认为，这可能是因为开发者本身就是俄罗斯人。

然而，Avast威胁实验室还发现，在最近我们所成功阻止的攻击中，攻击数量最多的国家是针对俄罗斯的。这很有趣，因为恶意软件背后的攻击者不想感染俄罗斯或中亚地区的计算机。

他还指出，这可能是因为攻击是通过喷洒式的方式进行传播的，将恶意软件传播到了世界各地。恶意软件在到达被感染的设备之前不会检查用户的位置。如果它发现设备位于开发者不想攻击的地区，它就不会运行。

Martyanov写道，这也就解释了为什么我们在俄罗斯检测到了这么多的攻击企图，也就是说，在它进入检查设备位置的阶段之前，我们就可以将其进行拦截。如果一个未受保护的设备在遇到恶意软件时，其地域设置为英语或任何其他不在列表上的语言，它仍然会被感染。

参考及来源：https://threatpost.com/raccoon-stealer-telegram/178881/