(https://i.postimg.cc/sfkw938Q/Racoon-Steeler-v2.png) (https://postimages.org/)
Raccoon Stealer vuelve a ser noticia. Los funcionarios estadounidenses arrestaron a Mark Sokolovsky, uno de los actores de malware detrás de este programa.
En julio de 2022, después de varios meses del cierre, un Raccoon Stealer V2 se volvió viral. La semana pasada, el comunicado de prensa del Departamento de Justicia indicó que el malware recopiló 50 millones de credenciales.
Este artículo brindará una guía rápida de la última versión del ladrón de información.
¿Qué es Raccoon infostealer V2?Raccoon Stealer es un tipo de malware que roba varios datos de una computadora infectada. Es un malware bastante básico, pero los piratas informáticos han popularizado a Raccoon con un servicio excelente y una navegación sencilla.
En 2019, Raccoon infostealer fue uno de los malware más discutidos. A cambio de $75 por semana y $200 por mes, los ciberdelincuentes vendieron este ladrón de información simple pero versátil como un MaaS. El malware logró atacar varios sistemas. En marzo de 2022, sin embargo, los autores de amenazas dejaron de operar.
En julio de 2022 se lanzó una versión actualizada de este malware. Como resultado, Raccoon Stealer V2 se volvió viral y obtuvo un nuevo nombre: RecordBreaker.
Tácticas y técnicas de Raccoon v2 en ANY.RUN Sandbox(https://i.postimg.cc/HLvtJmXL/Racoon-Service.png) (https://postimages.org/)
Cómo analizar Raccoon Stealer V2Proceso de ejecución/
Qué hace el malware RaccoonDescarga bibliotecas WinAPI
Utiliza kernel32.dll!LoadLibraryW
Obtiene las direcciones de las funciones WinAPI
Utiliza kernel32.dll!GetProcAddress
Cifrado de cadenas y servidores C2
Cifra con el algoritmo RC4 o XOR, puede no haber cifrado o una combinación de diferentes opciones
Disparadores de choque
Configuración regional de los países de la CEI, mutex
Comprobación de privilegios de nivel de sistema/sistema local
Utiliza Advapi32.dll!GetTokenInformation y Advapi32.dll!ConvertSidToStringSidW comparando StringSid con L "S-1-5-18"
Enumeración de procesos
Utiliza la API TlHelp32 (kernel32.dll!CreateToolhelp32Snapshot para capturar procesos y kernel32.dll!Process32First / kernel32.dll!Process32Next).
Conexión a servidores C2
Crea una cadena:
machineId={guid de máquina}|{nombre de usuario}&configId={rc4_c2_key}
Luego envía una solicitud POST
Recopilación de datos del usuario y del sistema:
el bitness del sistema operativo
información sobre RAM, CPU
aplicaciones instaladas en el sistema
cookies
datos de autocompletar
datos del formulario de autocompletar
Envío de datos recopilados
POST solicitudes a C2.
Obtener una respuesta del C2
C2 envía "recibido"
Operaciones de acabado
Toma una captura de pantalla, libera los recursos asignados restantes, descarga las bibliotecas y finaliza su trabajo
Hemos evaluado varias muestras de Raccoon Stealer V2, recopilado actividades de comportamiento típicas y descrito brevemente su proceso de ejecución.
Lea un análisis de malware más profundo y detallado de Raccoon Stealer 2.0:
https://any.run/cybersecurity-blog/raccoon-stealer-v2-malware-analysis/?utm_source=hacker_news&utm_medium=article&utm_campaign=raccoon&utm_content=blog
En el artículo, puede seguir todos los pasos y obtener una imagen completa del comportamiento del ladrón de información. Además de esta profunda investigación, tiene la oportunidad de extraer la configuración de malware por sí mismo: copie el script Python de Raccoon Stealer y descomprima los volcados de memoria para extraer claves y servidores C&C.
(https://i.postimg.cc/rmvCJ9hX/Racoon-Service-2.png) (https://postimages.org/)
Dónde analizar el malware¿Quieres analizar archivos y enlaces maliciosos? Existe una solución rápida y fácil: obtenga configuraciones listas para usar en el entorno limitado de malware en línea ANY.RUN e investigue los archivos sospechosos por dentro y por fuera. Intente descifrar cualquier malware utilizando un enfoque interactivo:
https://any.run/?utm_source=hacker_news&utm_medium=article&utm_campaign=raccoon&utm_content=landing
Escriba el código de promoción "
HACKERNEWS" en
[email protected] usando su dirección de correo electrónico comercial y obtenga 14 días de suscripción premium ANY.RUN gratis.
El sandbox de ANY.RUN le permite analizar malware rápidamente, navegar fácilmente por el proceso de investigación, detectar incluso malware sofisticado y obtener informes detallados. Use herramientas inteligentes y busque malware con éxito.
Fuente:
The Hacker News
https://thehackernews.com/2022/11/inside-raccoon-stealer-v2.html