Underc0de

El malware Raccoon Stealer está de regreso con una segunda versión importante que circula en los foros de ciberdelincuencia y ofrece a los piratas informáticos una funcionalidad mejorada para robar contraseñas y una capacidad operativa mejorada.

La operación Raccoon Stealer se  cerró en marzo de 2022  cuando sus operadores anunciaron que uno de los desarrolladores principales murió durante la invasión rusa de Ucrania.

El equipo restante prometió regresar con una segunda versión, relanzando el proyecto MaaS (malware como servicio) en una infraestructura mejorada y con más capacidades.

Según los analistas de seguridad de  Sekoia , Raccoon Stealer 2.0 ahora se promociona en Telegram y foros de piratería, con las primeras muestras capturadas por analistas de malware a principios de este mes.

El resurgimiento silencioso de mapache

El administrador del proyecto publicó un adelanto el 2 de junio de 2022, informando a la comunidad que las pruebas de Raccoon Stealer 2.0 han estado en marcha durante dos semanas y que los "clientes" están contentos con la versión beta.


Según los autores del malware, la nueva versión de Raccoon se creó desde cero usando C/C++, con un nuevo back-end, front-end y código para robar credenciales y otros datos.

Los analistas discutieron una nueva detección de familia de malware en Twitter el 8 de junio de 2022, quienes asignaron el nombre "RecordBreaker", sin darse cuenta de que esta es la próxima versión principal de Raccoon Stealer.

El análisis técnico de Sekoia ahora confirma que esta muestra de 56 KB es el nuevo Raccoon, capaz de funcionar en sistemas de 32 y 64 bits sin ninguna dependencia, y solo obtiene ocho archivos DLL legítimos de sus servidores C2.

El C2 también proporciona al malware su configuración (aplicaciones a las que apuntar, URL que aloja las DLL, token para la exfiltración de datos), recibe datos de huellas dactilares de la máquina y luego espera solicitudes POST individuales que contienen información robada.


Los datos robados por Raccoon Stealer 2.0 incluyen lo siguiente:

- Información básica de huellas dactilares del sistema.
- Contraseñas del navegador, cookies, datos de autocompletar y tarjetas de crédito guardadas.
- Carteras de criptomonedas y extensiones de navegador web, incluidas MetaMask, TronLink, BinanceChain, Ronin, Exodus, Atomic, JaxxLiberty, Binance, Coinomi, Electrum, Electrum-LTC y ElectronCash.
- Archivos individuales ubicados en todos los discos.
- Captura de pantalla.
- Lista de aplicaciones instaladas.

Si bien los autores del malware afirman que los datos extraídos se cifran, Sekoia no observó ninguna función de este tipo en la muestra analizada.

Lo que destaca es que el nuevo Raccoon envía datos cada vez que recopila un elemento nuevo, lo que aumenta el riesgo de detección pero garantiza la máxima eficacia hasta que se descubre el malware y se elimina del host.

Es probable que vea un mayor uso

La salida de Raccoon Stealer del mercado fue tan breve que uno diría más bien una pausa temporal, por lo que ni su reputación ni el interés de los ciberdelincuentes se han desvanecido.

Mientras que otros ladrones de información aparecieron durante la pausa de Raccoon Stealer, como  Mars Stealer y Jester Stealer , ninguno de ellos tuvo la oportunidad de alcanzar la notoriedad y reputación de Raccoon.

"Esperamos un resurgimiento de Raccoon Stealer v2, ya que los desarrolladores implementaron una versión adaptada a las necesidades de los ciberdelincuentes (eficiencia, rendimiento, capacidades de robo, etc.) y escalaron sus servidores troncales para manejar grandes cargas", comenta Sekoia en el informe.

Finalmente, es esencial tener en cuenta que la segunda versión principal de Raccoon Stealer actualmente solo está disponible para un número limitado de piratas informáticos, probablemente clientes anteriores. El costo se establece en $275/mes o $125/semana.


Sus operadores han optado por no anunciar la amplia disponibilidad de Raccoon todavía, posiblemente porque todavía están trabajando en algunos aspectos del malware.

Sekoia destaca la ausencia de mecanismos modernos de evitación de detección y antianálisis en la muestra examinada, por lo que estos podrían implementarse a continuación.

Fuente: https://www.bleepingcomputer.com