Raccoon Stealer 2.0

何度も話題になっているRaccoon Stealerがまた新たな話題を運んできました。
Raccoon Stealerの運営者は2022年3月に活動停止を知らせていました。
ウクライナ戦争の関係という話でした。
しかしこの活動停止は活動の停止であり活動の終了ではありませんでした。
彼らは主要な開発者がいなくなった事実を逆に受け止めたのか、全く新しい新バージョンの開発を実施していました。
そして2022年6月に活動を再開しています。
新しいバージョンは次のような特徴があるということです。

• ビルダーの使い勝手の向上
  利用者が使用するマルウェアのバイナリはビルダーを使って生成することができます。
  その生成の使い勝手が向上し簡単に生成できるようになりました。

   

• 動作速度向上
  マルウェアのコードはCおよびC++で記述された状態になりました。
  これによりマルウェアの動作速度が改善しています。

   

• 低い検出率
  アンチウイルス機構に検出される確率が低くなりました。

   

• 収集機能の拡張
  Raccoon Stealerは名前の通り収集ツールです。
  2.0では収集できる情報の範囲が拡張されました。

   

• ファイルダウンローダー機能の内包
  マルウェアの機能としてファイルをダウンロードする機能が実装されました。

   

• 32ビット64ビット両対応
  Raccoon Stealerは32ビットシステムでも64ビットシステムでも動作するものとなりました。

   

• 内部文字列の暗号化
  マルウェア内部に含まれる文字列が強力に暗号化された状態になりました。
  マルウェアの解析時にはマルウェアのバイナリを読み取って内部にある文字列から種類の特定を行ったり動作の推測を行ったりということを実施します。
  Raccoon Stealer 2.0のバイナリの中に含まれる文字列は暗号化された状態となっているため、この解析が大幅に困難になります。

   

• 小刻みなデータ送信
  読み取った秘密情報は読み取ったものから細かくデータ送信を実施し外部に持ち出します。
  これによりマルウェアの活動が検出されてしまう可能性は増加しますが逆に見つかってしまうぎりぎりまで情報を抜き取ることができます。
  盗み出せるものは少しでも盗み出すという方向性の実装になっています。

Raccoon Stealer 2.0の実装はまだ完了していないようです。
実装中と思われるコード部分が確認されていますし、例えば搭載が容易に予想される検出回避機構もまだ十分ではありません。
開発は継続していると考えられます。

Raccoon Stealer 2.0はコードとしては書き直されたものとなっています。
しかしマルウェアに対策するための手法としては従来から気をつけなければならない点として認識されているものと同じもので対応できる部分が多くあると想定できそうです。
新しい情報に注意しながら日々正しい運用を継続していくことで対応していくことになりそうです。

参考記事（外部リンク）：Raccoon Stealer is Back with a New Version
medium.com/s2wblog/raccoon-stealer-is-back-with-a-new-version-5f436e04b20d