{"id":455855,"date":"2022-11-02T20:03:44","date_gmt":"2022-11-02T20:03:44","guid":{"rendered":"https:\/\/teknomers.com\/es\/dentro-de-mapache-stealer-v2\/"},"modified":"2022-11-02T20:03:46","modified_gmt":"2022-11-02T20:03:46","slug":"dentro-de-mapache-stealer-v2","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/dentro-de-mapache-stealer-v2\/","title":{"rendered":"Dentro de mapache Stealer V2"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Raccoon Stealer vuelve a ser noticia.  Los funcionarios estadounidenses arrestaron a Mark Sokolovsky, uno de los actores de malware detr\u00e1s de este programa.  En julio de 2022, despu\u00e9s de varios meses del cierre, un Raccoon Stealer V2 se volvi\u00f3 viral.  La semana pasada, el comunicado de prensa del Departamento de Justicia indic\u00f3 que el malware recopil\u00f3 50 millones de credenciales.<\/p>\n<p>Este art\u00edculo brindar\u00e1 una gu\u00eda r\u00e1pida de la \u00faltima versi\u00f3n del ladr\u00f3n de informaci\u00f3n.<\/p>\n<h2>\u00bfQu\u00e9 es Raccoon infostealer V2?<\/h2>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/malware-trends\/raccoon?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=raccoon&amp;utm_content=mtt\" target=\"_blank\">Ladr\u00f3n de mapaches<\/a> es un tipo de malware que roba varios datos de una computadora infectada.  Es un malware bastante b\u00e1sico, pero los piratas inform\u00e1ticos han popularizado a Raccoon con un servicio excelente y una navegaci\u00f3n sencilla. <\/p>\n<p>En 2019, Raccoon infostealer fue uno de los malware m\u00e1s discutidos.  A cambio de $75 por semana y $200 por mes, los ciberdelincuentes vendieron este ladr\u00f3n de informaci\u00f3n simple pero vers\u00e1til como un MaaS.  El malware logr\u00f3 atacar varios sistemas.  En marzo de 2022, sin embargo, los autores de amenazas dejaron de operar. <\/p>\n<p>En julio de 2022 se lanz\u00f3 una versi\u00f3n actualizada de este malware. Como resultado, Raccoon Stealer V2 se volvi\u00f3 viral y obtuvo un nuevo nombre: RecordBreaker.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"411\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1667419424_53_Dentro-de-mapache-Stealer-V2.jpg\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">T\u00e1cticas y t\u00e9cnicas de Raccoon v2 en ANY.RUN Sandbox<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>C\u00f3mo analizar el ladr\u00f3n de mapaches V2 <\/h2>\n<table>\n<tbody>\n<tr>\n<td>\n<p><strong>Proceso de ejecuci\u00f3n<\/strong><\/p>\n<\/td>\n<td>\n<p><strong>Qu\u00e9 hace el malware Raccoon<\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Descarga bibliotecas WinAPI<\/p>\n<\/td>\n<td>\n<p>Utiliza kernel32.dll!LoadLibraryW<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Obtiene las direcciones de las funciones WinAPI <\/p>\n<\/td>\n<td>\n<p>Utiliza kernel32.dll!GetProcAddress<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Cifrado de cadenas y servidores C2<\/p>\n<\/td>\n<td>\n<p>Cifra con el algoritmo RC4 o XOR, puede no haber cifrado o una combinaci\u00f3n de diferentes opciones<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Disparadores de choque<\/p>\n<\/td>\n<td>\n<p>Configuraci\u00f3n regional de los pa\u00edses de la CEI, mutex<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Comprobaci\u00f3n de privilegios de nivel de sistema\/sistema local<\/p>\n<\/td>\n<td>\n<p>Utiliza Advapi32.dll!GetTokenInformation y Advapi32.dll!ConvertSidToStringSidW comparando StringSid con L &#8220;S-1-5-18&#8221;<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Enumeraci\u00f3n de procesos<\/p>\n<\/td>\n<td>\n<p>Utiliza la API TlHelp32 (kernel32.dll!CreateToolhelp32Snapshot para capturar procesos y kernel32.dll!Process32First \/ kernel32.dll!Process32Next).<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Conexi\u00f3n a servidores C2<\/p>\n<\/td>\n<td>\n<p>Crea una cadena: <br \/>machineId=guid de m\u00e1quina|nombre de usuario&amp;configId=rc4_c2_key<\/p>\n<p>Luego env\u00eda una solicitud POST<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Recopilaci\u00f3n de datos del usuario y del sistema<\/p>\n<\/td>\n<td>\n<ul>\n<li>el bitness del sistema operativo<\/li>\n<li>informaci\u00f3n sobre RAM, CPU<\/li>\n<li>aplicaciones instaladas en el sistema<\/li>\n<li>galletas<\/li>\n<li>datos de autocompletar<\/li>\n<li>datos del formulario de autocompletar<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Env\u00edo de datos recopilados <\/p>\n<\/td>\n<td>\n<p>POST solicitudes a C2. <\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Obtener una respuesta del C2<\/p>\n<\/td>\n<td>\n<p>C2 env\u00eda &#8220;recibido&#8221;<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Operaciones de acabado<\/p>\n<\/td>\n<td>\n<p>Toma una captura de pantalla, libera los recursos asignados restantes, descarga las bibliotecas y finaliza su trabajo<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Hemos evaluado varias muestras de Raccoon Stealer V2, recopilado actividades de comportamiento t\u00edpicas y descrito brevemente su proceso de ejecuci\u00f3n.<\/p>\n<p>Leer m\u00e1s profundo y m\u00e1s detallado <a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/cybersecurity-blog\/raccoon-stealer-v2-malware-analysis\/?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=raccoon&amp;utm_content=blog\" target=\"_blank\">An\u00e1lisis de malware Raccoon Stealer 2.0<\/a>.  En el art\u00edculo, puede seguir todos los pasos y obtener una imagen completa del comportamiento del ladr\u00f3n de informaci\u00f3n.  Adem\u00e1s de esta profunda investigaci\u00f3n, tiene la oportunidad de extraer la configuraci\u00f3n de malware por s\u00ed mismo: copie el script Python de Raccoon Stealer y descomprima los volcados de memoria para extraer claves y servidores C&amp;C. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"493\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1667419424_346_Dentro-de-mapache-Stealer-V2.jpg\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Configuraci\u00f3n del malware Raccoon v2<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2 style=\"text-align: left\">D\u00f3nde analizar el malware<\/h2>\n<p>\u00bfQuieres analizar archivos y enlaces maliciosos?  Existe una soluci\u00f3n r\u00e1pida y f\u00e1cil: obtener configuraciones listas para usar en <a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=raccoon&amp;utm_content=landing\" target=\"_blank\">Sandbox de malware en l\u00ednea ANY.RUN<\/a> e investigue los archivos sospechosos por dentro y por fuera.  Intente descifrar cualquier malware utilizando un enfoque interactivo: <\/p>\n<blockquote><p><strong>Escriba el c\u00f3digo de promoci\u00f3n &#8220;HACKERNEWS&#8221; en support@any.run usando su direcci\u00f3n de correo electr\u00f3nico comercial y obtenga 14 d\u00edas de suscripci\u00f3n premium ANY.RUN gratis. <\/strong><\/p><\/blockquote>\n<p>El sandbox de ANY.RUN le permite analizar malware r\u00e1pidamente, navegar f\u00e1cilmente por el proceso de investigaci\u00f3n, detectar incluso malware sofisticado y obtener informes detallados.  Use herramientas inteligentes y busque malware con \u00e9xito.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/inside-raccoon-stealer-v2.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Raccoon Stealer vuelve a ser noticia. Los funcionarios estadounidenses arrestaron a Mark Sokolovsky, uno de los actores de<\/p>\n","protected":false},"author":1,"featured_media":455856,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,7966,4662,4668,4667,118570,4654,4658,4659,4653,4655,4663,4666,4665,39208,4660],"class_list":["post-455855","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-dentro","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-mapache","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-stealer","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/455855","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=455855"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/455855\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/455856"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=455855"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=455855"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=455855"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}