Raccoon un reciente malware que roba los datos de aproximadamente 60 aplicaciones


Un ladrón de información (infostealer) es un tipo de malware que está enfocado en reunir información sensible de un sistema comprometido, con el fin de extraerla sin autorización. Dicha información comúnmente suelen ser credenciales de usuario, aunque se han conocido casos en que también buscan información financiera y personal. En su mayoría, los infostealer son vendidos como Malware como servicio (MaaS - Malware-as-a-Service), donde los autores del malware proveen un paquete completo que incluye, soporte técnico, actualizaciones de seguridad y de nuevas características cada cierto tiempo. Los típicos paquetes contienen un inicio de sesión con un panel administrativo donde el atacante puede personalizar las funciones del malware.

Recientemente se ha hecho muy popular entre los foros de la deep web el Infostealer Raccoon, visto por primera vez en abril del 2019, donde se puede deducir que la razón de su actual popularidad es debido a su bajo precio, el cual ronda entre 75$ dólares americanos (USD) por semana y 200$ USD por mes y por poseer múltiples características personalizables. Suele ser usado para robar información confidencial y sensible, así como credenciales de inicio de sesión, información de tarjetas de crédito, billeteras de criptomonedas y datos del explorador (cookies, historial, autollenado) desde 60 aplicaciones aproximadamente.

Raccoon está escrito en C++ y aunque carece de sofisticación, contiene un amplio rango de métodos y características para robar datos desde los exploradores más populares, clientes de correo y billeteras de criptomonedas.

El metodo de envio de Raccoon suelen ser dos:


  1. Kit de Exploit: Sitios web maliciosos que perfila a la víctima para cualquier aplicación vulnerable basada en explorador y redireccionar al usuario a una página web acuerdo a la vulnerabilidad. La página destino contiene el código exploit específico que aproveche la vulnerabilidad, con el fin de usarla para instalar el malware.
  2. Campañas de Phishing: Aplicar ingeniería social, para convencer al usuario de que es un  aparente contenido inofensivo, con el fin de ejecutar carga útil (payload) maliciosa. Usualmente, la víctima recibe un correo electrónico con un documento Microsoft Office comprimido, el cual contendrá un macro malicioso. Por defecto, los macros están deshabilitados, así que el atacante intentará convencer al usuario de habilitarlos para posteriormente ejecutar el código malicioso.


La mayoría de los MaaS tienen un servidor de comando y control (C&C - C2) para que pueda hacer de gestor de las opciones del malware habilitadas por el atacante y así enviar los datos robados del usuario. Para conectarse con el C2 se utiliza una dirección escondida almacenada dentro de la carga útil.

Raccoon contiene 3 valores binarios codificados los cuales son:

  1. Una cadena base64.
  2. Una primera llave de cifrado para una rutina de descifrado ubicada en una dirección URL de Google Drive.
  3. Una segunda llave de cifrado para la dirección URL hacia el C2.


El infostealer inicia descifrando de la primera llave, una vez extraída, utiliza la primera llave en una rutina de descifrado en la cadena base64 por medio de una función que dará como resultado el enlace URL de Google Drive para obtener la dirección del C2, esto se realiza al crear y enviar una petición GET, hacia dicha dirección URL de Google Drive usando HTTPS.



Respuesta de Google Drive


De la respuesta recibida Raccoon filtra el nombre del archivo (filename) desde el encabezado de respuesta “Content-Disposition”, donde dicho nombre es una segunda cadena, la cual es descifrada por la segunda llave, donde finalmente se obtiene la dirección del C2 de Raccoon "http://35[.]189[.]105[.]242/gate/log.php".

Raccoon abarca un amplio rango de aplicaciones debido a que utiliza técnicas conocidas para extraer datos de ellas, las cuales son:


  1. Extrae el archivo de la aplicación que contiene los datos sensibles.
  2. Copia el archivo extraído en la carpeta %Temp%.
  3. Realiza rutinas específicas de la aplicación para extraer y descifrar los datos.
  4. Escribe un archivo de texto en la carpeta de trabajo de Raccoon con la información robada.


Raccoon tiene como blanco de ataque a 29 exploradores basados en chromium como Google Chrome, Opera, etc. Los datos sensibles de estos exploradores son guardados en un mismo formato, en la carpeta de la aplicación “User Data” en bases datos SQL. Dicha información es obtenida por medio de consultas SQL utilizando "sqlite3.dll", con el fin de extraer los datos de inicio de sesión automáticos y auto-llenado, las cuales pueden ser, credenciales, información de tarjetas de crédito, cookies y historial de navegación. Misma metodología es aplicada para las aplicaciones basadas en Mozilla.

En caso de las billeteras de criptomonedas, Raccoon abarca las principales aplicaciones utilizadas como Exodus, Jaxx, entre otros. El infostealer busca los archivos de las billeteras en sus localizaciones por defecto, así como también posee una función de escaneo para extraer cualquier archivo “wallet.dat”. Dichas billeteras son guardas en la carpeta de trabajo de Raccoon ubicada en “%Temp%”.

Carpeta de billeteras robadas


Una vez cumplido con el robo, reúne todos los archivos que escribió en la carpeta "%Temp%" en un solo archivo comprimido .zip llamado “log.zip”. El cual es enviado al servidor C2, una vez realizado el robo, elimina todo rastro de sí mismo.


Contenido del archivo log.zip



Recursos Afectados

Exploradores
Google Chrome, Google Chrome (Chrome SxS), Chromium, Xpom, Comodo Dragon, Amigo, Orbitum, Bromium, Nichrome, RockMelt, 360Browser, Vivaldi, Opera, Sputnik, Kometa, Uran, QIP Surf, Epic Privacy, CocCoc, CentBrowser, 7Star, Elements, TorBro, Suhba, Safer Browser, Mustang, Superbird, Chedot, Torch, Internet Explorer, Microsoft Edge, Firefox, WaterFox, SeaMonkey, PaleMoon.

Clientes de correo
ThunderBird, Outlook, Foxmail

Billeteras de criptomonedas
Electrum, Ethereum, Exodus, Jaxx, Monero, Bither



Indicadores de Compromiso

Cadena base64
Mypo7lAqDGp6xNdb/CUHGKD0x9cCPC4XYTUYxcMwDD/tWbPQlmUzGwH+R8cN9kncB7OZsuFsvcdiB1xtd7BAC0yoPZteuoB1hV5KWIQ0+cA=


Primera llave (Rutina de descifrado)
https[:]//drive[.]google[.]com/uc?export=download&id=1QQXAXArU8BU4kJZ6IBsSCCyLtmLftiOV


Segunda llave (Dirección hacia el C2)
http[:]//35[.]189[.]105[.]242/gate


Sha256 (Raccoon)
a57e1f3217b993476c594570095d28b6c287731a005325e5f64a332a86cb7878



Fuente:
https://www.cyberark.com/threat-research-blog/raccoon-the-story-of-a-typical-infostealer/

COMENTARIOS

Nombre

Actualizaciones,2,Adobe,1,Adware,3,android,28,Antivirus,3,Apple,14,Apps,12,Arkavia Networks,13,asus,1,Ataques,5,Azure,2,Backdoor,4,Bancos,6,Bases de Datos,2,Bluetooth,1,Botnet,3,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,1,Ciberataque,2,Cibercrimen,124,Ciberdelincuencia,3,ciberseguridad,98,Cisco,1,Citrix,3,Cloud,2,CMS,1,Comunicaciones,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,4,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Leak,8,Datos,2,DDoS,2,Deep Web,5,dlink,1,Ecommerce,2,Emotet,1,Empresas,113,enrutadores,1,Eventos,5,Exchange,1,exploit,1,Exploits,11,F5 Networks,1,Facebook,7,Firmware,2,google,27,Hacking,83,Hardware,7,Hosting,2,Industria,10,Infostealer,1,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,7,ios,4,IoT,3,ISO,1,Linux,7,Malware,34,Malwares,32,Microsoft,28,Mirai,1,MSP,1,Mukashi,1,Nacional,10,NAS,1,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,1,OS,9,Payload,2,Paypal,1,phishing,14,Plugins,1,Protocolos,12,Python,1,Ransomware,13,RCE,1,RDP,1,Recomendaciones,15,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rootkit,1,Routers,2,RRSS,1,Salud,2,Servicios,5,Smartphones,29,SMB,2,Software,23,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Tplink,1,Trickbot,1,Trojan,1,Troyano,2,Update,4,updates,22,VPN,3,Vulnerabilidad,12,Vulnerabilidades,68,Web,5,WhatsApp,4,wifi,5,Windows,12,Wordpress,4,Zoom,2,
ltr
item
Arkavia Networks News: Raccoon un reciente malware que roba los datos de aproximadamente 60 aplicaciones
Raccoon un reciente malware que roba los datos de aproximadamente 60 aplicaciones
https://1.bp.blogspot.com/-0JssCeFUR3w/XlVJLPi59PI/AAAAAAAAB3o/lpmX_9wasBwsvv4JUiAmBl_gm3DKzY9cACLcBGAsYHQ/s640/Infostealer%2BRacoon.jpg
https://1.bp.blogspot.com/-0JssCeFUR3w/XlVJLPi59PI/AAAAAAAAB3o/lpmX_9wasBwsvv4JUiAmBl_gm3DKzY9cACLcBGAsYHQ/s72-c/Infostealer%2BRacoon.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/02/raccoon-un-reciente-malware-que-roba.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/02/raccoon-un-reciente-malware-que-roba.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy