Blog

El malware Raccoon Stealer regresa con una nueva versión ¿Qué novedades nos trae?

Uno de los RAT (Remote Access Tools) más conocidos y utilizados en Internet, Raccoon Stealer, ha vuelto a las andanzas y con una nueva versión que actualmente se encuentra circulando por el bajo mundo de los foros de hacking y estaría ofreciendo a los interesados una mayor funcionalidad de robo de contraseñas y una capacidad operativa mejorada, a comparación de su primera versión.

Al principio, ya se daba por hecho que las operaciones de mantenimiento y actualizaciones de Raccoon Stealer habrían cerrado en marzo de 2022, cuando uno de sus principales operadores anunció de manera pública en un foro, que uno de los principales desarrolladores de Raccoon fue asesinado durante la invasión rusa a Ucrania. Y desde ese día no han dado más indicios de vida sobre el proyecto, pero todo eso cambio hace unos días atrás.

Operadores de Raccoon Stealer anuncian la suspensión de sus operaciones.
Imagen: 3xp0rt

El equipo restante de Raccoon Stealer ha prometido volver con una segunda versión, relanzando un proyecto que este más orientado al modelo de negocio MaaS (Malware-as-a-Services) y contando por detrás con una infraestructura mejorada y con más capacidades de acción que logre satisfacer las necesidades de los interesados en adquirir dicho malware.

Según los analistas de seguridad de la empresa Sekoia, Raccoon Stealer 2.0 se promociona ahora en Telegram y en foros de hacking, y las primeras muestras fueron capturadas por analistas de malware a principios de junio de 2022.

Además, el administrador del proyecto Raccoon, publicó un teaser el 2 de junio de 2022, informando a la comunidad de que las pruebas de Raccoon Stealer 2.0 se han estado llevando a cabo hace ya dos semanas atrás y que a sus «clientes» han quedado satisfechos con la nueva beta.

El representante de Raccoon anunció el éxito de la beta a través de un foro de hacking.
Imagen: Kela

Según los desarrolladores del malware, la nueva versión de Raccoon fue construida desde cero usando C/C++, presentando un nuevo back-end, front-end y código para robar credenciales y otros datos de gran valor.

El 8 de junio de 2022, los analistas discutieron en Twitter la detección de una nueva familia de malware, a la que asignaron el nombre de «RecordBreaker», sin darse cuenta de que se trata de la siguiente versión de Raccoon Stealer.

El análisis desarrollado por las personas de Sekoia, confirma ahora que una muestra de 56KB es el nuevo Raccoon, capaz de funcionar en sistemas de 32 y 64 bits sin ninguna dependencia, y que sólo obtiene 8 DLL legítimas de sus servidores de C2 (Command and Control). El C2 también proporciona al malware su configuración (aplicaciones a las que dirigirse, URL que aloja las DLL, token para la exfiltración de datos, principalmente), recibe los datos de las huellas dactilares de la máquina y luego espera las peticiones POST individuales que contienen la información robada.

Diagrama de intercambio de datos de Raccoon Stealer con el C2.
Imagen: Sekoia

Los datos que extrae Raccoon Stealer 2.0 del equipo de la victima son los siguientes:

  • Información básica de las huellas del sistema.
  • Contraseñas del navegador, cookies, datos de relleno automático y tarjetas de crédito guardadas.
  • Monederos de criptomonedas y extensiones del navegador web, incluyendo MetaMask, TronLink, BinanceChain, Ronin, Exodus, Atomic, JaxxLiberty, Binance, Coinomi, Electrum, Electrum-LTC y ElectronCash.
  • Archivos individuales ubicados en todos los discos.
  • Captura de pantalla.
  • Lista de aplicaciones instaladas.

Aunque los desarrolladores del malware afirman que los datos exfiltrados van cifrados, Sekoia no observó ninguna función de este tipo en la muestra analizada. Lo que sí se destaca, es que el nuevo Raccoon envía datos cada vez que recoge un nuevo elemento, lo que aumenta el riesgo de detección, pero asegura la máxima efectividad hasta que el malware es descubierto y eliminado del host.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required