0
0
Os autores de “Raccoon Stealer”, um dos ladrões de informações mais prolíficos de 2021, lançaram uma versão nova e melhorada do malware apenas três meses após o encerramento das operações após a morte de seu principal desenvolvedor na Ucrânia.
Pesquisadores do fornecedor francês de segurança cibernética Sekoia relataram esta semana tropeçar em servidores ativos que hospedam arquivos Raccoon Stealer enquanto procuravam sinais do malware no início deste mês. A investigação subsequente de Sekoia mostrou que os autores do malware estavam vendendo a nova versão através de seu canal Telegram desde pelo menos 17 de maio.
Sekoia disse que sua análise mostrou que os autores do Raccoon Stealer reescreveram o malware e o painel administrativo para ele, do zero. O foco do esforço parece ter sido melhorar o desempenho e a eficiência do ladrão. Em sua essência, o novo Raccoon Stealer continua sendo um ladrão de informações clássico, com foco extra em carteiras de criptomoedas. Ele foi projetado para roubar senhas, cookies, dados de cartão de crédito e formulários de preenchimento automático da maioria dos navegadores modernos. O malware pode roubar de uma ampla gama de carteiras de criptografia de desktop, incluindo Electrum, Exodus, MetaMask e Coinomi.
Novo e Melhorado
A Sekoia descobriu que o Raccoon Stealer V2 também possui recursos – como um agarrador de arquivos para todos os discos e um downloader de arquivos integrado – para exfiltrar arquivos para sistemas comprometidos e carregar outros softwares nos sistemas. Recursos adicionais incluem captura de capturas de tela, registro de pressionamento de tecla e enumeração de aplicativos. “Vale a pena notar que o malware quase não implementa técnicas de evasão de defesa, como antianálise [ou] ofuscação”, disse Sekoia em um relatório resumindo sua análise esta semana. No entanto, espere que os autores de malware adicionem esses recursos em breve, disse o fornecedor de segurança.
Vários pesquisadores de segurança esperavam totalmente que o Raccoon Stealer ressurgisse quando seus desenvolvedores anunciaram que estavam interrompendo as operações em 25 de março. O malware, que surgiu pela primeira vez em 2019, é amplamente considerado como um dos ladrões de informações mais eficazes da memória recente. Os desenvolvedores do Racoon Stealer inicialmente o distribuíram por meio de um modelo de malware como serviço que permitia que outros criminosos alugassem e usassem o ladrão por uma parte dos lucros.
Com o tempo, os criminosos começaram a distribuí-lo de outras maneiras também, inclusive plantando-o em sites que vendem software pirata. Em agosto passado, pesquisadores da Sophos relataram criminosos que abandonaram o malware de sites que foram otimizados para aparecer alto nos resultados dos mecanismos de pesquisa do Google quando as pessoas pesquisavam fontes de software pirateado. Nessa campanha, a Sophos concluiu que os criminosos que distribuíram Raccoon Stealer provavelmente estavam usando “droppers-as-a-service” para distribuir o malware. Os pesquisadores da Sophos também observaram invasores usando um canal Telegram para fornecer o endereço do gateway de comando e controle para sistemas infectados com Raccoon Stealer. O fornecedor de segurança supôs que os atacantes do Raccoon Stealer começaram a usar o canal Telegram para dificultar a localização da infraestrutura de comando e controle do malware.
Resurfacing na Cue
Em janeiro de 2022, o Laboratório de Inteligência de Ameaças Cibernéticas da Bitdefender observou que os operadores do amplamente utilizado Kit de Exploração RIG incluem o Ladador de Guaxinins em seu kit. No entanto, quando os desenvolvedores do Raccoon Stealer anunciaram que estavam saindo, os autores do RIG trocaram rapidamente o malware pelo antigo, mas ainda popular, Trojan bancário Dridex. Recentemente, os criminosos também usaram instaladores falsos para software legítimo — como VPNs da F-Secure e Proton — para distribuir Raccoon Stealer.
Em um relatório na semana passada, a Bitdefender previu que o Raccoon Locker retornaria, apesar do revés que levou os desenvolvedores a interromper as operações em março. É uma avaliação que Sekoia compartilhou esta semana. “Esperamos um ressurgimento do Raccoon Stealer v2, já que os desenvolvedores implementaram uma versão adaptada às necessidades dos cibercriminosos e dimensionaram seus servidores backbone para lidar com grandes cargas”, disse Sekoia.
FONTE: DARK READING