Les experts de Bitdefender ont préparé une analyse de Raccoon Password Stealer. La chose la plus étonnante est que si le russe ou l'ukrainien est défini comme langue locale de l'utilisateur, le logiciel malveillant ne démarre pas dans le système.
Les pirates utilisent le RIG Exploit Kit pour propager divers malwares via des exploits de navigateur, notamment via des versions vulnérables d'Internet Explorer 11. Depuis le début de cette année, les commanditaires de nouvelles attaques propagent le malware Raccoon-Stealer, qui, entre autres, utilise des applications de données d'accès basées sur Chrome et Mozilla, des données d'accès pour les comptes de messagerie, des informations de carte de crédit et des informations sur les portefeuilles cryptographiques dans les extensions de navigateur et à partir d'un disque dur.
Voleur de mot de passe raton laveur à l'honneur depuis 2019
Les experts en sécurité ont observé pour la première fois le voleur de mots de passe Raccoon en avril 2019. Zerofox, Cyberint et Avast ont déjà décrit d'anciennes variantes du malware, dont certaines étaient disponibles en tant que Malware-as-a-Service sur des forums clandestins, certaines pour 200 $ par mois de loyer.
Le kit d'exploitation RIG actuellement analysé par les experts de Bitdefender exploite la vulnérabilité CVE-2021-26411. Une fois déployé, le logiciel malveillant attaque diverses applications pour voler des mots de passe et d'autres informations. Pour les navigateurs basés sur Chrome, il recherche les données sensibles dans les bases de données SQLite. En utilisant la bibliothèque légitime sqlite3.dll, les attaquants reniflent les informations de connexion, les cookies et l'historique du navigateur, ainsi que les informations de carte de crédit.
Espionnage des données d'accès
Le logiciel malveillant interroge toutes les bibliothèques requises des applications basées sur Mozilla afin de déchiffrer et d'extraire des informations sensibles des bases de données SQLite. De plus, les attaquants recherchent des applications courantes pour les crypto-monnaies telles que les portefeuilles et leurs emplacements par défaut (comme Exodus, Monero, Jaxx ou Binance). En même temps, le malware recherche tous les fichiers wallet.dat. Les cybercriminels collectent les données de connexion des utilisateurs de messagerie (également de Microsoft Outlook) ou les données des gestionnaires de mots de passe.
Aucune exécution du code malveillant pour les langues russe et ukrainienne
Dans leur analyse, les experts de Bitdefender Labs décrivent comment le RIG Exploit Kit exploite la vulnérabilité et commence à exécuter le code. L'échantillon de malware est enveloppé dans plusieurs couches de cryptage pour une meilleure furtivité et pour rendre l'ingénierie inverse plus difficile. Avant de s'exécuter, le Raccoon Stealer identifie la langue d'origine de l'utilisateur local : s'il s'agit du russe, de l'ukrainien, du biélorusse, du kazakh, du kirghize, de l'arménien, du tadjik ou de l'ouzbek, le logiciel malveillant ne s'exécutera pas. L'analyse décrit également la communication initiale avec le serveur de commande et de contrôle (C&C).
Plus qu'un PDF sur Bitdefender.com
À propos de Bitdefender Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de