Raccoon stealer - назад в прошлое

Raccoon stealer - назад в прошлое

Alexuiop1337

Предисловие

Немного о том, почему я это пишу. Ничего не имею против новых проектов, но именно этот меня сильно зацепил. Raccoon - это Malware-as-a-Service софт, к чему я уже отношусь очень скептично, но вспомнив Vidar, на это можно закрыть глаза, если софт действительно того стоит. Но в нашем случае все оказалось кардинально наоборот. С течением времени, количество косяков всплывало все больше. Когда я действительно заинтересовался софтом, найдя билд на app any run, выяснил, что не все так уж и радужно, начиная от скачивания архива размером 3 мб с DLL, заканчивая устройством самого стиллера...

Анализ - IDA

Начнем с того, что просканим файл через DiE:

Немного удивительно, что он определил в точности версию компилятора, меня это натолкнуло на мысль, что билд был скомпилен с включенным MD, но я еще не был уверен, поэтому продолжим смотреть. Взглянем на импорт:

И тут я выпал в осадок... По импорту настолько все плохо, что и речи о нормальном ран-тайме быть не может. Что стоит один только URLDownloadToFile, вызов которого мониторится у всех ав.

Закидываем билд в IDA и она сразу кидает нас в настоящий EP вместо того, который обычно генерируется Visual Studio, я уже тогда понял, что билд был скомпилен под MD. Это означает, что он имеет зависимости - DLL api винды. У меня уже встал вопрос, как можно написать софт, который только под MD весит уже все 450 кб, так еще и докачивает архив 3 мб с прочими длл зависимостями, но все же продолжим. Я сразу же решил проверить строки, чтобы возможно найти что-то интересное:

В официальном продажнике ничего не сказано про список поддерживаемых браузеров, но уже можно сделать вывод, что их количество ограничено.

Итак, в _main мы видим вот такую картину:

Переключаюсь в псевдо-код и видим непонятные циклы похожие на шифрование:

Собственно расшифровать подобную строку крайне просто. Число < 255 является xor ключом, число находящиеся в if - длинной строки, а большие числа - байтовое представление строки, понимая все это, написать дешифровщик такой строки - дело 5 минут:

И на выходе получаем:

Далее raccoon создает мутекс формата rc/username и проверяет на его существование, чтобы не запускались дополнительные копии:

Далее стиллер производит манипуляции с привилегиями:

Предполагаю, что этот код предназначался помочь для выхода из LowIL с помощью установки токена системы, но для автора, вероятно, является секретом, что приложение запущенное из-под LowIL не сможет получить хендл приложения из MediumIL или выше (и очевидно, что дропая все это месиво на диск, стиллер отрабатывать в LowIL не должен).

После всего выше сказанного, стиллер проверяет СНГ ли эта система:

На этом моменте он получает строку, которая содержит название локальности и он сверяет их со следующими: "Russian", "Ukrainian", "Belarussian", "Kazakh", "Kyrgyz", "Armenian", "Tajik", "Uzbek".

Далее стиллер отрабатывает самым шаблонным путем: получает данные -> создает файл -> записывает данные в файл. После отправки лога, парсит конфиг и подгружает нужные файлы.

Методы граббера данных из браузеров и много другого, по логике ничем не отличается от того, что были в аркее, поэтому повторяться смысла нет.

Дополнение:

Вы это действительно называете "сильно пошифрованы":


Анализ - Песочница

Малварь 2019 года докачивает архивы по 3 мб для устранения зависимостей, ну и как же без классической sqlite3.dll?

Поведение стиллера в плане интернета очень шумное. Для начала стиллер кидает запрос на одну из прокладок и получает в качестве ответа не зашифрованный файл формата json:

Откуда он потом загружает sqlite3.dll файл для работы с бд браузеров и архив libs.zip размером ~2.7 мб в котором находятся DLL зависимости для корректной работы стиллера:

Большинство из этих DLL нужны для корректной работы стиллера в ран-тайме, другие же нужны для обеспечения работы граббера для х64 Mozilla FireFox и Thunderbird и пр..

Автор - Who is an actor?

Прежде чем рассказать о панели, стоит рассказать о тех, кто приложил руки к написанию кода. Сейчас речь идет о небезызвестном кодере glad0ff, который недавно ушел в "приват" и вообще не появляется на снг форумах. Я долгое время с ним общался, в том числе и на темы про малварь и кодинг. Взглянем еще раз на импорт:

NTFS транзакции - это именно то, что редко используют кодеры малвари, но и это, именно то, что точно я рекомендовал gladoff использовать в одном из диалогов. Но и это не является прямым док-вом, что glad0ff является кодером в этом проекте (предоставил бы пруф, вот только переписки он подтер).

Через некоторое время после пропажи, мой селлер через селлеров glad0ff нашел его новую телегу (уже удаленную):

И как оказалось, этот самый wankfbi писал мне (на тот момент я не знал, что это был glad0ff):

Но даже, то что glad0ff спрашивал у меня такое в лс, в принципе ничего не значит, но я уже вас подготовил и мы переходим к панели.

Панель - гордость Raccoon

"Бронебойный Back-end" - так ли это на самом деле? - Ни я один заинтересовался в Raccoon'e, но и также многие зарубежные ресерчеры. Не прошло и месяца (напомню, что релиз Raccoon состоялся 7-10 апреля), как уже появился и дамп панели, и данные одного из администраторов. Но кто же этот администратор? Это же glad0ff!

Обратим внимание на дату регистрацию, ничего себе, Глад был зарегистрирован аж 2 месяца назад, когда об этом софте, то и разговоров не было. Естественно, даже такой факт не говорит о полной причастности Глада к проекту, но думаю это что-то значит. Но помимо доступа к аккаунта Глада, слита была и вся бд пользователей: https://pastebin.com/YJQqLTmu

Возникает еще один вопрос про бронебойность панели, прокладки и сервера для пользователей очень долго висели под ддосом от зарубежных юзеров, спрашивается где же ваша броня то?

Вот такое вот пробитие получила панель Raccoon'a.

Заключение

Не скажу ничего про Front-End панели, но по Software и Back-End - у вас много явных проебов. По Software одна только докачка зависимостей является огромной проблемой (детект по рантайму = 11), а по Back-End - это бесконечные ддосы, слив бд и прочее...


Оправдана ли цена или нет, уже каждый решает для себя сам.

Я: https://t.me/alexuiop1337

Канал: https://t.me/PredatorSoftwareChannel

Купить предатор: https://t.me/sett9

70 мб логов выкачанных с Raccoon: https://www.sendspace.com/file/nsnrpb