Raccoon Stealer vuelve a ser noticia. Los funcionarios estadounidenses arrestaron a Mark Sokolovsky, uno de los actores de malware detrás de este programa. En julio de 2022, después de varios meses del cierre, un Raccoon Stealer V2 se volvió viral. La semana pasada, el comunicado de prensa del Departamento de Justicia indicó que el malware recopiló 50 millones de credenciales.
Este artículo brindará una guía rápida de la última versión del ladrón de información.
¿Qué es Raccoon infostealer V2?
Ladrón de mapaches es un tipo de malware que roba varios datos de una computadora infectada. Es un malware bastante básico, pero los piratas informáticos han popularizado a Raccoon con un servicio excelente y una navegación sencilla.
En 2019, Raccoon infostealer fue uno de los malware más discutidos. A cambio de $75 por semana y $200 por mes, los ciberdelincuentes vendieron este ladrón de información simple pero versátil como un MaaS. El malware logró atacar varios sistemas. En marzo de 2022, sin embargo, los autores de amenazas dejaron de operar.
En julio de 2022 se lanzó una versión actualizada de este malware. Como resultado, Raccoon Stealer V2 se volvió viral y obtuvo un nuevo nombre: RecordBreaker.
 |
| Tácticas y técnicas de Raccoon v2 en ANY.RUN Sandbox |
Cómo analizar el ladrón de mapaches V2
Proceso de ejecución | Qué hace el malware Raccoon |
Descarga bibliotecas WinAPI | Utiliza kernel32.dll!LoadLibraryW |
Obtiene las direcciones de las funciones WinAPI | Utiliza kernel32.dll!GetProcAddress |
Cifrado de cadenas y servidores C2 | Cifra con el algoritmo RC4 o XOR, puede no haber cifrado o una combinación de diferentes opciones |
Disparadores de choque | Configuración regional de los países de la CEI, mutex |
Comprobación de privilegios de nivel de sistema/sistema local | Utiliza Advapi32.dll!GetTokenInformation y Advapi32.dll!ConvertSidToStringSidW comparando StringSid con L “S-1-5-18” |
Enumeración de procesos | Utiliza la API TlHelp32 (kernel32.dll!CreateToolhelp32Snapshot para capturar procesos y kernel32.dll!Process32First / kernel32.dll!Process32Next). |
Conexión a servidores C2 | Crea una cadena: Luego envía una solicitud POST |
Recopilación de datos del usuario y del sistema |
|
Envío de datos recopilados | POST solicitudes a C2. |
Obtener una respuesta del C2 | C2 envía “recibido” |
Operaciones de acabado | Toma una captura de pantalla, libera los recursos asignados restantes, descarga las bibliotecas y finaliza su trabajo |
Hemos evaluado varias muestras de Raccoon Stealer V2, recopilado actividades de comportamiento típicas y descrito brevemente su proceso de ejecución.
Leer más profundo y más detallado Análisis de malware Raccoon Stealer 2.0. En el artículo, puede seguir todos los pasos y obtener una imagen completa del comportamiento del ladrón de información. Además de esta profunda investigación, tiene la oportunidad de extraer la configuración de malware por sí mismo: copie el script Python de Raccoon Stealer y descomprima los volcados de memoria para extraer claves y servidores C&C.
 |
| Configuración del malware Raccoon v2 |
Dónde analizar el malware
¿Quieres analizar archivos y enlaces maliciosos? Existe una solución rápida y fácil: obtener configuraciones listas para usar en Sandbox de malware en línea ANY.RUN e investigue los archivos sospechosos por dentro y por fuera. Intente descifrar cualquier malware utilizando un enfoque interactivo:
Escriba el código de promoción “HACKERNEWS” en [email protected] usando su dirección de correo electrónico comercial y obtenga 14 días de suscripción premium ANY.RUN gratis.
El sandbox de ANY.RUN le permite analizar malware rápidamente, navegar fácilmente por el proceso de investigación, detectar incluso malware sofisticado y obtener informes detallados. Use herramientas inteligentes y busque malware con éxito.