黑客黑了自己！恶意软件开发者不小心感染了自己的 PC，致数据泄漏

Posted 2021-09-10 程序员的店小二

本文转载自 云头条

一恶意软件开发者在自己的系统上释放了编写的恶意软件以尝试新功能，却未曾想数据最终出现在了网络犯罪情报平台上，向外界泄露了网络犯罪活动的内幕。

该威胁分子是Raccoon的开发者，Raccoon是一种信息窃取程序，可以从众多应用程序收集数据，在过去两年越来越受欢迎。

Raccoon的开发人员在测试该信息窃取程序的一个变种时感染了自己的系统，此举立即触发了数据流向指挥和控制（C2）服务器，随后进一步流向多个网络犯罪论坛。

Raccoon开发者的受感染测试系统是通过Hudson Rock的Cavalier平台加以发现的，这是监测受感染机器的网络犯罪情报数据库。

Hudson Rock联合创始人兼首席技术官Alon Gal表示，Raccoon信息窃取程序从100多万个受感染系统窃取信息，可以通过Cavalier跟踪这些系统。

该研究人员告诉IT安全外媒BleepingComputer，Raccoon信息窃取程序的开发者在2月份感染了机器，但当时并没有引起注意，由于这不是属于公司客户的机器，因此没有引起任何关注。

Gal表示，它是因在指挥和控制服务器中有意修改的IP地址1.1.1.1而引起了注意，修改地址是为了避免真实地址被捕获。有意思的是，Cloudflare的公共域名系统（DNS）解析器使用了这个IP地址。

Raccoon信息窃取程序测试机的IP地址。图片来源：Hudson Rock

从自我感染的系统收集的数据表明，开发者测试了恶意软件从谷歌Chrome浏览器中提取密码的功能，这是任何信息窃取程序的一个基本属性。

从Raccoon测试计算机中提取的其他信息揭示了与恶意软件有关的名称和多个电子邮件地址。

遗憾的是，这些细节信息不足以确定Raccoon开发者的身份。Gal表示，恶意软件的创建者“很可能有意感染了[机器]”，并在释放恶意软件之前非常小心地删除了可能暴露其身份的细节信息。

比如说，用于各种服务的电子邮件地址含有“raccoon”或“raccoonstealer”，表明它们用于客户沟通。

Raccoon信息窃取程序的电子邮件地址

研究人员还发现了Benjamin Engel这个名字，他是来自柏林的黑客，也是2014年德国黑客电影《我是谁？》中的主角。

从测试系统中提取的其他细节信息显示，开发者的测试设备中的cookie表明登录进入了一个在知名网络犯罪团伙当中颇受欢迎的俄语论坛。

Gal成功地比较了使用与社区中Raccoon信息窃取程序帐户所附的ID登录进入该论坛后生成的cookie中的ID。

cookie 中和黑客论坛上的Raccon信息窃取程序所共有的ID。图片来源：Hudson Rock

虽然以这种方式收集的信息并不含有揭露Raccoon开发者的真实姓名所必需的提示，但它表明网络犯罪分子也可能会出差错，仍有希望将他们打个措手不及。