Dentro del malware Raccoon Stealer V2

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Raccoon Stealer vuelve a ser noticia. Los funcionarios estadounidenses arrestaron a Mark Sokolovsky, uno de los actores de malware detrás de este programa.

En julio de 2022, después de varios meses del cierre, un Raccoon Stealer V2 se volvió viral. La semana pasada, el comunicado de prensa del Departamento de Justicia indicó que el malware recopiló 50 millones de credenciales.

Este artículo brindará una guía rápida de la última versión del ladrón de información.

¿Qué es Raccoon infostealer V2?

Raccoon Stealer es un tipo de malware que roba varios datos de una computadora infectada. Es un malware bastante básico, pero los piratas informáticos han popularizado a Raccoon con un servicio excelente y una navegación sencilla.

En 2019, Raccoon infostealer fue uno de los malware más discutidos. A cambio de $75 por semana y $200 por mes, los ciberdelincuentes vendieron este ladrón de información simple pero versátil como un MaaS. El malware logró atacar varios sistemas. En marzo de 2022, sin embargo, los autores de amenazas dejaron de operar.

En julio de 2022 se lanzó una versión actualizada de este malware. Como resultado, Raccoon Stealer V2 se volvió viral y obtuvo un nuevo nombre: RecordBreaker.

Tácticas y técnicas de Raccoon v2 en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta Sandbox
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cómo analizar Raccoon Stealer V2

Proceso de ejecución/
Qué hace el malware Raccoon

Descarga bibliotecas WinAPI
Utiliza kernel32.dll!LoadLibraryW

Obtiene las direcciones de las funciones WinAPI
Utiliza kernel32.dll!GetProcAddress

Cifrado de cadenas y servidores C2
Cifra con el algoritmo RC4 o XOR, puede no haber cifrado o una combinación de diferentes opciones

Disparadores de choque
Configuración regional de los países de la CEI, mutex

Comprobación de privilegios de nivel de sistema/sistema local
Utiliza Advapi32.dll!GetTokenInformation y Advapi32.dll!ConvertSidToStringSidW comparando StringSid con L "S-1-5-18"

Enumeración de procesos
Utiliza la API TlHelp32 (kernel32.dll!CreateToolhelp32Snapshot para capturar procesos y kernel32.dll!Process32First / kernel32.dll!Process32Next).

Conexión a servidores C2
Crea una cadena:
machineId={guid de máquina}|{nombre de usuario}&configId={rc4_c2_key}

Luego envía una solicitud POST
Recopilación de datos del usuario y del sistema:
el bitness del sistema operativo
información sobre RAM, CPU
aplicaciones instaladas en el sistema
cookies
datos de autocompletar
datos del formulario de autocompletar

Envío de datos recopilados
POST solicitudes a C2.

Obtener una respuesta del C2
C2 envía "recibido"

Operaciones de acabado
Toma una captura de pantalla, libera los recursos asignados restantes, descarga las bibliotecas y finaliza su trabajo

Hemos evaluado varias muestras de Raccoon Stealer V2, recopilado actividades de comportamiento típicas y descrito brevemente su proceso de ejecución.

Lea un análisis de malware más profundo y detallado de Raccoon Stealer 2.0:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En el artículo, puede seguir todos los pasos y obtener una imagen completa del comportamiento del ladrón de información. Además de esta profunda investigación, tiene la oportunidad de extraer la configuración de malware por sí mismo: copie el script Python de Raccoon Stealer y descomprima los volcados de memoria para extraer claves y servidores C&C.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Dónde analizar el malware

¿Quieres analizar archivos y enlaces maliciosos? Existe una solución rápida y fácil: obtenga configuraciones listas para usar en el entorno limitado de malware en línea No tienes permitido ver los links. Registrarse o Entrar a mi cuenta e investigue los archivos sospechosos por dentro y por fuera. Intente descifrar cualquier malware utilizando un enfoque interactivo:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Escriba el código de promoción "HACKERNEWS" en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta usando su dirección de correo electrónico comercial y obtenga 14 días de suscripción premium No tienes permitido ver los links. Registrarse o Entrar a mi cuenta gratis.

El sandbox de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta le permite analizar malware rápidamente, navegar fácilmente por el proceso de investigación, detectar incluso malware sofisticado y obtener informes detallados. Use herramientas inteligentes y busque malware con éxito.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta