Gli esperti di Bitdefender hanno preparato un'analisi di Raccoon Password Stealer. La cosa più sorprendente è che se il russo o l'ucraino è impostato come lingua dell'utente locale, il malware non si avvia nel sistema.
Gli hacker utilizzano il RIG Exploit Kit per diffondere vari malware tramite exploit del browser, in particolare tramite versioni vulnerabili di Internet Explorer 11. Dall'inizio di quest'anno, i sostenitori di nuovi attacchi hanno diffuso il malware Raccoon-Stealer, che, tra l'altro , utilizza applicazioni di dati di accesso basate su Chrome e Mozilla, dati di accesso per account di posta, informazioni sulla carta di credito e informazioni sui portafogli crittografici nelle estensioni del browser e da un disco rigido.
Raccoon password stealer al centro dell'attenzione dal 2019
Gli esperti di sicurezza hanno osservato per la prima volta il ladro di password Raccoon nell'aprile 2019. Zerofox, Cyberint e Avast hanno già descritto versioni precedenti del malware, alcune delle quali erano disponibili come Malware-as-a-Service su forum clandestini, altre a 200 dollari al mese.
Il RIG Exploit Kit attualmente analizzato dagli esperti di Bitdefender sfrutta la vulnerabilità CVE-2021-26411. Una volta distribuito, il malware attacca varie applicazioni per rubare password e altre informazioni. Nei browser basati su Chrome, cerca i dati sensibili nei database SQLite. Utilizzando la libreria sqlite3.dll legittima, gli aggressori fiutano le informazioni di accesso, i cookie e la cronologia del browser e le informazioni sulla carta di credito.
Spionaggio dei dati di accesso
Il malware interroga tutte le librerie richieste dalle applicazioni basate su Mozilla per decrittografare ed estrarre informazioni sensibili dai database SQLite. Inoltre, gli aggressori sono alla ricerca di applicazioni comuni per criptovalute come portafogli e le loro posizioni predefinite (come Exodus, Monero, Jaxx o Binance). Allo stesso tempo, il malware cerca tutti i file wallet.dat. I criminali informatici raccolgono dati di accesso dagli utenti di posta elettronica (anche da Microsoft Outlook) o dati dai gestori di password.
Nessuna esecuzione del codice malware per le lingue utente russo e ucraino
Nella loro analisi, gli esperti di Bitdefender Labs descrivono come RIG Exploit Kit sfrutta la vulnerabilità e avvia l'esecuzione del codice. Il campione di malware è racchiuso in più livelli di crittografia per una migliore invisibilità e per rendere più difficile il reverse engineering. Prima dell'esecuzione, Raccoon Stealer identifica la lingua originale dell'utente locale: se è russo, ucraino, bielorusso, kazako, kirghiso, armeno, tagico o uzbeko, il malware non verrà eseguito. L'analisi descrive anche la comunicazione iniziale con il server di comando e controllo (C&C).
Più che PDF su Bitdefender.com
Informazioni su Bitdefender Bitdefender è un leader globale nelle soluzioni di sicurezza informatica e nel software antivirus, proteggendo oltre 500 milioni di sistemi in più di 150 paesi. Dalla sua fondazione nel 2001, le innovazioni dell'azienda hanno regolarmente fornito eccellenti prodotti di sicurezza e protezione intelligente per dispositivi, reti e servizi cloud per clienti privati e aziende. In qualità di fornitore preferito, la tecnologia Bitdefender si trova nel 38% delle soluzioni di sicurezza implementate nel mondo ed è affidabile e riconosciuta da professionisti del settore, produttori e clienti. www.bitdefender.de