{"id":443782,"date":"2022-11-02T16:39:55","date_gmt":"2022-11-02T18:39:55","guid":{"rendered":"https:\/\/teknomers.com\/fr\/a-linterieur-de-raccoon-stealer-v2\/"},"modified":"2022-11-02T16:39:57","modified_gmt":"2022-11-02T18:39:57","slug":"a-linterieur-de-raccoon-stealer-v2","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/a-linterieur-de-raccoon-stealer-v2\/","title":{"rendered":"\u00c0 l&#8217;int\u00e9rieur de Raccoon Stealer V2"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Raccoon Stealer est de retour dans l&#8217;actualit\u00e9.  Des responsables am\u00e9ricains ont arr\u00eat\u00e9 Mark Sokolovsky, l&#8217;un des acteurs du malware \u00e0 l&#8217;origine de ce programme.  En juillet 2022, apr\u00e8s plusieurs mois d&#8217;arr\u00eat, un Raccoon Stealer V2 est devenu viral.  La semaine derni\u00e8re, le communiqu\u00e9 de presse du minist\u00e8re de la Justice indiquait que le logiciel malveillant avait collect\u00e9 50 millions d&#8217;informations d&#8217;identification.<\/p>\n<p>Cet article donnera un guide rapide de la derni\u00e8re version du voleur d&#8217;informations.<\/p>\n<h2>Qu&#8217;est-ce que Raccoon infostealer V2 ?<\/h2>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/malware-trends\/raccoon?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=raccoon&amp;utm_content=mtt\" target=\"_blank\">Voleur de raton laveur<\/a> est une sorte de logiciel malveillant qui vole diverses donn\u00e9es d&#8217;un ordinateur infect\u00e9.  C&#8217;est un logiciel malveillant assez basique, mais les pirates ont rendu Raccoon populaire avec un excellent service et une navigation simple. <\/p>\n<p>En 2019, Raccoon infostealer \u00e9tait l&#8217;un des logiciels malveillants les plus discut\u00e9s.  En \u00e9change de 75 $ par semaine et 200 $ par mois, les cybercriminels ont vendu ce voleur d&#8217;informations simple mais polyvalent en tant que MaaS.  Le logiciel malveillant a r\u00e9ussi \u00e0 attaquer un certain nombre de syst\u00e8mes.  En mars 2022, cependant, les auteurs de menaces ont cess\u00e9 d&#8217;op\u00e9rer. <\/p>\n<p>Une version mise \u00e0 jour de ce malware a \u00e9t\u00e9 publi\u00e9e en juillet 2022. En cons\u00e9quence, Raccoon Stealer V2 est devenu viral et a acquis un nouveau nom &#8211; RecordBreaker.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"411\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1667414395_774_A-linterieur-de-Raccoon-Stealer-V2.jpg\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Tactiques et techniques de Raccoon v2 dans ANY.RUN Sandbox<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Comment analyser le voleur de ratons laveurs V2 <\/h2>\n<table>\n<tbody>\n<tr>\n<td>\n<p><strong>Processus d&#8217;ex\u00e9cution<\/strong><\/p>\n<\/td>\n<td>\n<p><strong>Ce que fait le malware Raccoon<\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>T\u00e9l\u00e9charge les biblioth\u00e8ques WinAPI<\/p>\n<\/td>\n<td>\n<p>Utilise kernel32.dll!LoadLibraryW<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Obtient les adresses des fonctions WinAPI <\/p>\n<\/td>\n<td>\n<p>Utilise kernel32.dll!GetProcAddress<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Chiffrement des cha\u00eenes et des serveurs C2<\/p>\n<\/td>\n<td>\n<p>Crypte avec l&#8217;algorithme RC4 ou XOR, peut \u00eatre aucun cryptage du tout, ou une combinaison de diff\u00e9rentes options<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>D\u00e9clencheurs de plantage<\/p>\n<\/td>\n<td>\n<p>Param\u00e8tres r\u00e9gionaux des pays de la CEI, mutex<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>V\u00e9rification des privil\u00e8ges au niveau du syst\u00e8me\/syst\u00e8me local<\/p>\n<\/td>\n<td>\n<p>Utilise Advapi32.dll!GetTokenInformation et Advapi32.dll!ConvertSidToStringSidW comparant StringSid avec L &#8220;S-1-5-18&#8221;<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>\u00c9num\u00e9ration de processus<\/p>\n<\/td>\n<td>\n<p>Utilise l&#8217;API TlHelp32 (kernel32.dll!CreateToolhelp32Snapshot pour capturer les processus et kernel32.dll!Process32First \/ kernel32.dll!Process32Next).<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Connexion aux serveurs C2<\/p>\n<\/td>\n<td>\n<p>Cr\u00e9e une cha\u00eene\u00a0: <br \/>machineId=machineguid|nom d&#8217;utilisateur&amp;configId=rc4_c2_key<\/p>\n<p>Envoie ensuite une requ\u00eate POST<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Collecte de donn\u00e9es utilisateur et syst\u00e8me<\/p>\n<\/td>\n<td>\n<ul>\n<li>le bit du syst\u00e8me d&#8217;exploitation<\/li>\n<li>informations sur la RAM, le processeur<\/li>\n<li>applications install\u00e9es dans le syst\u00e8me<\/li>\n<li>biscuits<\/li>\n<li>donn\u00e9es de remplissage automatique<\/li>\n<li>donn\u00e9es de formulaire de remplissage automatique<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Envoi des donn\u00e9es collect\u00e9es <\/p>\n<\/td>\n<td>\n<p>POST requ\u00eates \u00e0 C2. <\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Obtenir une r\u00e9ponse du C2<\/p>\n<\/td>\n<td>\n<p>C2 envoie &#8220;re\u00e7u&#8221;<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Op\u00e9rations de finition<\/p>\n<\/td>\n<td>\n<p>Prend une ou plusieurs captures d&#8217;\u00e9cran, lib\u00e8re les ressources allou\u00e9es restantes, d\u00e9charge les biblioth\u00e8ques et termine son travail<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Nous avons tri\u00e9 plusieurs \u00e9chantillons de Raccoon Steerer V2, collect\u00e9 des activit\u00e9s de comportement typiques et d\u00e9crit bri\u00e8vement son processus d&#8217;ex\u00e9cution.<\/p>\n<p>Lire plus en profondeur et plus en d\u00e9tail <a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/cybersecurity-blog\/raccoon-stealer-v2-malware-analysis\/?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=raccoon&amp;utm_content=blog\" target=\"_blank\">Analyse des logiciels malveillants Raccoon Stealer 2.0<\/a>.  Dans l&#8217;article, vous pouvez suivre toutes les \u00e9tapes et obtenir une image compl\u00e8te du comportement du voleur d&#8217;informations.  Outre cette recherche approfondie, vous avez la possibilit\u00e9 d&#8217;extraire vous-m\u00eame la configuration des logiciels malveillants &#8211; copiez le script Python de Raccoon stealer et d\u00e9compressez les vidages de m\u00e9moire pour extraire les serveurs et les cl\u00e9s C&amp;C. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"493\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1667414395_717_A-linterieur-de-Raccoon-Stealer-V2.jpg\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Configuration du logiciel malveillant Raccoon v2<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2 style=\"text-align: left\">O\u00f9 analyser les logiciels malveillants<\/h2>\n<p>Vous souhaitez analyser les fichiers et liens malveillants ?  Il existe une solution simple et rapide : obtenez des configurations pr\u00eates \u00e0 l&#8217;emploi dans <a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=raccoon&amp;utm_content=landing\" target=\"_blank\">Bac \u00e0 sable des logiciels malveillants en ligne ANY.RUN<\/a> et enqu\u00eatez sur les fichiers suspects \u00e0 l&#8217;int\u00e9rieur et \u00e0 l&#8217;ext\u00e9rieur.  Essayez de casser n&#8217;importe quel logiciel malveillant en utilisant une approche interactive\u00a0: <\/p>\n<blockquote><p><strong>\u00c9crivez le code promotionnel &#8220;HACKERNEWS&#8221; \u00e0 support@any.run en utilisant votre adresse e-mail professionnelle et obtenez 14 jours d&#8217;abonnement premium ANY.RUN gratuitement\u00a0! <\/strong><\/p><\/blockquote>\n<p>Le bac \u00e0 sable ANY.RUN vous permet d&#8217;analyser rapidement les logiciels malveillants, de naviguer facilement dans le processus de recherche, de d\u00e9tecter m\u00eame les logiciels malveillants sophistiqu\u00e9s et d&#8217;obtenir des rapports d\u00e9taill\u00e9s.  Utilisez des outils intelligents et chassez les logiciels malveillants avec succ\u00e8s.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/inside-raccoon-stealer-v2.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Raccoon Stealer est de retour dans l&#8217;actualit\u00e9. Des responsables am\u00e9ricains ont arr\u00eat\u00e9 Mark Sokolovsky, l&#8217;un des acteurs du malware \u00e0 l&#8217;origine de ce programme. En juillet 2022, apr\u00e8s plusieurs mois d&#8217;arr\u00eat, un Raccoon Stealer V2 est devenu viral. La semaine derni\u00e8re, le communiqu\u00e9 de presse du minist\u00e8re de la Justice indiquait que le logiciel malveillant [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":443783,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,4157,4159,4171,4170,7902,4167,4160,4163,4162,81208,4172,4169,39577,4166,4164],"class_list":["post-443782","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-linterieur","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-raccoon","tag-securite-informatique","tag-securite-internet","tag-stealer","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/443782","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=443782"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/443782\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/443783"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=443782"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=443782"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=443782"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}