Os especialistas da Bitdefender prepararam uma análise do Raccoon Password Stealer. O mais surpreendente é que, se russo ou ucraniano for definido como o idioma local do usuário, o malware não será iniciado no sistema.
Os hackers usam o RIG Exploit Kit para espalhar vários malwares por meio de explorações de navegador, em particular por meio de versões vulneráveis do Internet Explorer 11. Desde o início deste ano, os patrocinadores de novos ataques têm espalhado o malware Raccoon-Stealer, que, entre outras coisas, , usa aplicativos de dados de acesso baseados em Chrome e Mozilla, dados de acesso para contas de e-mail, informações de cartão de crédito e informações sobre carteiras criptográficas em extensões de navegador e de um disco rígido.
Raccoon ladrão de senhas em foco desde 2019
Especialistas em segurança observaram pela primeira vez o ladrão de senhas Raccoon em abril de 2019. Zerofox, Cyberint e Avast já descreveram variantes mais antigas do malware, algumas das quais estavam disponíveis como Malware-as-a-Service em fóruns clandestinos, algumas por US$ 200 por mês.
O RIG Exploit Kit atualmente sendo analisado por especialistas da Bitdefender explora a vulnerabilidade CVE-2021-26411. Uma vez implantado, o malware ataca vários aplicativos para roubar senhas e outras informações. Em navegadores baseados no Chrome, ele procura os dados confidenciais nos bancos de dados SQLite. Usando a biblioteca sqlite3.dll legítima, os invasores detectam informações de login, cookies e histórico do navegador e informações de cartão de crédito.
Espionagem de dados de acesso
O malware consulta todas as bibliotecas necessárias de aplicativos baseados no Mozilla para descriptografar e extrair informações confidenciais dos bancos de dados SQLite. Além disso, os invasores procuram aplicativos comuns para criptomoedas, como carteiras e seus locais padrão (como Exodus, Monero, Jaxx ou Binance). Ao mesmo tempo, o malware procura todos os arquivos wallet.dat. Os criminosos cibernéticos coletam dados de login de usuários de e-mail (também do Microsoft Outlook) ou dados de gerenciadores de senhas.
Nenhuma execução do código de malware para os idiomas de usuário russo e ucraniano
Em sua análise, os especialistas do Bitdefender Labs descrevem como o RIG Exploit Kit explora a vulnerabilidade e começa a executar o código. A amostra de malware é envolta em várias camadas de criptografia para melhor sigilo e para tornar a engenharia reversa mais difícil. Antes de executar, o Raccoon Stealer identifica o idioma local original do usuário: se for russo, ucraniano, bielorrusso, cazaque, quirguiz, armênio, tadjique ou uzbeque, o malware não será executado. A análise também descreve a comunicação inicial com o servidor de comando e controle (C&C).
Mais do que PDF em Bitdefender.com
Sobre o Bitdefender A Bitdefender é líder global em soluções de segurança cibernética e software antivírus, protegendo mais de 500 milhões de sistemas em mais de 150 países. Desde a sua fundação em 2001, as inovações da empresa fornecem regularmente excelentes produtos de segurança e proteção inteligente para dispositivos, redes e serviços em nuvem para clientes particulares e empresas. Como fornecedor preferido, a tecnologia da Bitdefender é encontrada em 38 por cento das soluções de segurança implantadas no mundo e é confiável e reconhecida por profissionais da indústria, fabricantes e clientes. www.bitdefender.de