Uno de los RAT (Remote Access Tools) más conocidos y utilizados en Internet, Raccoon Stealer, ha vuelto a las andanzas y con una nueva versión que actualmente se encuentra circulando por el bajo mundo de los foros de hacking y estaría ofreciendo a los interesados una mayor funcionalidad de robo de contraseñas y una capacidad operativa mejorada, a comparación de su primera versión.
Al principio, ya se daba por hecho que las operaciones de mantenimiento y actualizaciones de Raccoon Stealer habrían cerrado en marzo de 2022, cuando uno de sus principales operadores anunció de manera pública en un foro, que uno de los principales desarrolladores de Raccoon fue asesinado durante la invasión rusa a Ucrania. Y desde ese día no han dado más indicios de vida sobre el proyecto, pero todo eso cambio hace unos días atrás.

Imagen: 3xp0rt
El equipo restante de Raccoon Stealer ha prometido volver con una segunda versión, relanzando un proyecto que este más orientado al modelo de negocio MaaS (Malware-as-a-Services) y contando por detrás con una infraestructura mejorada y con más capacidades de acción que logre satisfacer las necesidades de los interesados en adquirir dicho malware.
Según los analistas de seguridad de la empresa Sekoia, Raccoon Stealer 2.0 se promociona ahora en Telegram y en foros de hacking, y las primeras muestras fueron capturadas por analistas de malware a principios de junio de 2022.
Además, el administrador del proyecto Raccoon, publicó un teaser el 2 de junio de 2022, informando a la comunidad de que las pruebas de Raccoon Stealer 2.0 se han estado llevando a cabo hace ya dos semanas atrás y que a sus «clientes» han quedado satisfechos con la nueva beta.

Imagen: Kela
Según los desarrolladores del malware, la nueva versión de Raccoon fue construida desde cero usando C/C++, presentando un nuevo back-end, front-end y código para robar credenciales y otros datos de gran valor.
El 8 de junio de 2022, los analistas discutieron en Twitter la detección de una nueva familia de malware, a la que asignaron el nombre de «RecordBreaker», sin darse cuenta de que se trata de la siguiente versión de Raccoon Stealer.
El análisis desarrollado por las personas de Sekoia, confirma ahora que una muestra de 56KB es el nuevo Raccoon, capaz de funcionar en sistemas de 32 y 64 bits sin ninguna dependencia, y que sólo obtiene 8 DLL legítimas de sus servidores de C2 (Command and Control). El C2 también proporciona al malware su configuración (aplicaciones a las que dirigirse, URL que aloja las DLL, token para la exfiltración de datos, principalmente), recibe los datos de las huellas dactilares de la máquina y luego espera las peticiones POST individuales que contienen la información robada.

Imagen: Sekoia
Los datos que extrae Raccoon Stealer 2.0 del equipo de la victima son los siguientes:
- Información básica de las huellas del sistema.
- Contraseñas del navegador, cookies, datos de relleno automático y tarjetas de crédito guardadas.
- Monederos de criptomonedas y extensiones del navegador web, incluyendo MetaMask, TronLink, BinanceChain, Ronin, Exodus, Atomic, JaxxLiberty, Binance, Coinomi, Electrum, Electrum-LTC y ElectronCash.
- Archivos individuales ubicados en todos los discos.
- Captura de pantalla.
- Lista de aplicaciones instaladas.
Aunque los desarrolladores del malware afirman que los datos exfiltrados van cifrados, Sekoia no observó ninguna función de este tipo en la muestra analizada. Lo que sí se destaca, es que el nuevo Raccoon envía datos cada vez que recoge un nuevo elemento, lo que aumenta el riesgo de detección, pero asegura la máxima efectividad hasta que el malware es descubierto y eliminado del host.

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.