Los expertos de Bitdefender han preparado un análisis de Raccoon Password Stealer. Lo más sorprendente es que si el ruso o el ucraniano están configurados como idioma local del usuario, el malware no se inicia en el sistema.
Los piratas informáticos utilizan el RIG Exploit Kit para propagar varios programas maliciosos a través de explotaciones de navegador, en particular a través de versiones vulnerables de Internet Explorer 11. Desde principios de este año, los patrocinadores de nuevos ataques han estado propagando el malware Raccoon-Stealer, que, entre otras cosas, , utiliza aplicaciones de datos de acceso basadas en Chrome y Mozilla, datos de acceso para cuentas de correo, información de tarjetas de crédito e información sobre billeteras criptográficas en extensiones de navegador y desde un disco duro.
Ladrón de contraseñas de mapaches en foco desde 2019
Los expertos en seguridad observaron por primera vez al ladrón de contraseñas Raccoon en abril de 2019. Zerofox, Cyberint y Avast ya han descrito variantes más antiguas del malware, algunas de las cuales estaban disponibles como Malware-as-a-Service en foros clandestinos, algunas por $200 al mes.
El kit de explotación RIG que actualmente están analizando los expertos de Bitdefender explota la vulnerabilidad CVE-2021-26411. Una vez implementado, el malware ataca varias aplicaciones para robar contraseñas y otra información. En los navegadores basados en Chrome, busca los datos confidenciales en las bases de datos SQLite. Utilizando la biblioteca legítima sqlite3.dll, los atacantes detectan la información de inicio de sesión, las cookies y el historial del navegador y la información de la tarjeta de crédito.
Espionaje de datos de acceso
El malware consulta todas las bibliotecas necesarias de las aplicaciones basadas en Mozilla para descifrar y extraer información confidencial de las bases de datos SQLite. Además, los atacantes buscan aplicaciones comunes para criptomonedas como monederos y sus ubicaciones predeterminadas (como Exodus, Monero, Jaxx o Binance). Al mismo tiempo, el malware busca todos los archivos wallet.dat. Los ciberdelincuentes recopilan datos de inicio de sesión de usuarios de correo electrónico (también de Microsoft Outlook) o datos de administradores de contraseñas.
Sin ejecución del código de malware para los idiomas de usuario ruso y ucraniano
En su análisis, los expertos de Bitdefender Labs describen cómo RIG Exploit Kit explota la vulnerabilidad y comienza a ejecutar el código. La muestra de malware está envuelta en varias capas de cifrado para mejorar el sigilo y dificultar la ingeniería inversa. Antes de ejecutarse, Raccoon Stealer identifica el idioma local original del usuario: si es ruso, ucraniano, bielorruso, kazajo, kirguís, armenio, tayiko o uzbeko, el malware no se ejecutará. El análisis también describe la comunicación inicial con el servidor de comando y control (C&C).
Más que PDF en Bitdefender.com
Acerca de Bitdefender Bitdefender es líder mundial en soluciones de ciberseguridad y software antivirus, y protege más de 500 millones de sistemas en más de 150 países. Desde su fundación en 2001, las innovaciones de la compañía han brindado regularmente excelentes productos de seguridad y protección inteligente para dispositivos, redes y servicios en la nube para clientes privados y empresas. Como proveedor elegido, la tecnología de Bitdefender se encuentra en el 38 por ciento de las soluciones de seguridad implementadas en el mundo y cuenta con la confianza y el reconocimiento de profesionales de la industria, fabricantes y consumidores por igual. www.bitdefender.de