Infostealer，我们通常称之为“间谍软件”，它是众多恶意软件中的一种，能够从受感染系统中窃取各种敏感数据，包括登录凭证、个人信息、财务信息，等等。

尽管能够窃取高价值数据，但间谍软件的编码往往并不复杂。在暗网市场上，你甚至只需要花上几美元就能够购买到一款制作精良的间谍软件，这也就是我们常说的“恶意软件即服务（MaaS）”。

在去年11月份，我们就曾为大家详细介绍了以恶意软件即服务形式出售的RACCOON间谍软件，其开发者不仅提供完全有效的软件包，而且还免费提供长期的技术支持（包括但不限于bug修复和软件更新）。

就在一个月前，有关新版RACCOON间谍软件的营销广告开始出现在此前的俄罗斯黑客论坛上。根据广告描述，RACCOON的开发者此次为它新增了能够从FileZilla（一款免费开源的FTP客户端软件）中窃取FTP服务器凭证以及从UC浏览器中窃取登录凭证的能力。

此外，RACCOON的面板此次也得到了改进，一些UI问题已得到修复，并且还新增加了一个选项，允许购买者通过面板直接加密构建并将其下载为DLL文件。

RACCOON简介

RACCOON，也被称为“ Mohazo”或“ Racealer”，于2019年4月首次被发现。分析表明，它能够从近60款常用软件中窃取敏感数据，包括登录凭证、支付卡信息、加密货币钱包以及浏览器信息（cookie、历史记录、自动填充）。

目标浏览器如下：

• Google Chrome
• Google Chrome (Chrome SxS)
• Chromium
• Xpom
• Comodo Dragon
• Amigo
• Orbitum
• Bromium
• Nichrome
• RockMelt
• 360Browser
• Vivaldi
• Opera
• Sputnik
• Kometa
• Uran
• QIP Surf
• Epic Privacy
• CocCoc
• CentBrowser
• 7Star
• Elements
• TorBro
• Suhba
• Safer Browser
• Mustang
• Superbird
• Chedot
• Torch
• Internet Explorer
• Microsoft Edge
• Firefox
• WaterFox
• SeaMonkey
• PaleMoon

目标电子邮箱客户端如下：

• ThunderBird
• Outlook
• Foxmail

目标加密货币钱包如下：

• Electrum
• Ethereum
• Exodus
• Jaxx
• Monero
• Bither

调查显示，RACCOON主要通过以下两种方式之一进行传播：

1.漏洞利用工具包

一旦受害者访问了恶意页面，就会被重定向到包含漏洞利用代码的登录页面，进而导致感染RACCOON，感染链如下图所示：

2.网络钓鱼活动

钓鱼电子邮件所携带的附件通常是一份Ofiice文档，一旦打开，内嵌的恶意宏代码就会执行，然后创建与恶意域的连接，最后下载RACCOON。

在窃取到所需的数据后，RACCOON会将它们汇总到一个名为“Log.zip”的压缩文件中。然后，它将要做的就是将zip文件发送回C＆C服务器并删除所有痕迹。

除窃取数据外，RACCOON具有下载文件的功能。也就是说，它还可以被用于将其他恶意软件下载到受感染系统中，进而执行更多的恶意操作（从loader_urls注册表项中获取URL，将文件下载到temp文件夹下，并通过使用文件路径调用ShellExecuteA来执行文件）。

结语

低廉的价格（每周75美元，每月200美元）、丰富的价格、完善的配套服务，RACCOON自上架以来已经获得了大批客户。

不得不说，恶意软件即服务的确大大降低了网络犯罪的门槛。无需掌握太多的黑客技术，仅仅花上几百美元，甚至几美元就可以轻松完成这一切。

近年来，尽管全球多国有关当局都加大了对暗网市场的打击力度。但事实证明，这条路似乎还十分漫长。

推荐阅读

虚拟货币 文件(什么是虚拟货币？)

vbs是什么文件(vbs是什么文件怎么运行)

保存的快捷键(文件保存的快捷键)

cso文件(cso文件怎么打开)

文件夹打不开(文件夹打不开了怎么恢复)

硬盘恢复软件(硬盘恢复软件破解版)

存档英文名(英文存档怎么说)

图片压缩包怎么做(电脑图片压缩包怎么做)

thumb文件夹(thumb文件夹干啥的)

289号文 比特币，比特币914号文件