|
새로운 버전으로 돌아온 Raccoon Stealer 분석팀 2022.11.04 |
|
|
운영이 중단되었던 Raccoon Stealer가 2.0 버전으로 새롭게 등장했다. Raccoon Stealer는 2018년부터 2022년 초까지 활발하게 유포되었다. 지난 3월 MaaS 핵심 인력이 우크라이나 전쟁 중 사망하면서 일시적으로 활동을 중단하였으며, 같은 시기 FBI가 악성코드 관리자를 체포하면서 Raccoon Stealer 서버를 폐쇄했다. 이후, 잠잠했던 Raccoon Stealer는 새롭게 'Raccoon Stealer 2.0'을 판매하면서 다시 활동을 시작했다.
Raccoon Stealer는 브라우저에서 저장된 정보, 시스템 정보, 암호화폐 지갑 정보 등을 수집하여 C2 서버로 전송한다. 브라우저에서 탈취하는 정보는 타깃에 따라 차이가 있으며, 자격 증명, 쿠키, 자동 완성 데이터, 신용 카드 등과 같은 데이터를 수집한다.
악성코드 내부 문자열은 RC4와 Base64를 통해 2중으로 암호화가 되어있다. 이는 분석을 어렵게 하고, 문자열 기반 탐지를 우회하기 위한 목적으로 추측된다.
악성코드에 감염되면 먼저 C2 서버로 PC 정보를 전송한다. 그리고 C2 서버로부터 토큰, URL 정보 등을 수신 받은 뒤, 행위에 필요한 DLL 파일 들을 다운로드 받는다. 이후, 해당 DLL을 활용하여 PC에 저장된 정보를 수집하고 C2 서버로 전송한다.
Raccoon Stealer는 핵심 인력의 부재로 활동을 멈추기 이전에 공격자들에게 인기가 많은 악성코드 중 하나였다. 그렇기 때문에 효율성이나 성능적인 면에서 발전한 Raccoon Stealer 2.0은 이번에도 공격자들에게 많은 관심을 받을 것으로 예상되기 때문에 주의가 필요하다. |