El mapache malware se dirige a una amplia gama de navegadores para robar sus datos y criptomonedas


Malware: los ataques de Mac superan a los de las Pc con Windows
Ha habido un gran salto en los delincuentes cibernéticos que persiguen a los usuarios de Mac, aunque muchos de los ataques tienen un alcance limitado.

Puede que Raccoon no sea la opción más barata del mercado, pero el malware ha ganado popularidad entre los ciberdelincuentes por su capacidad para apuntar al menos a 60 aplicaciones, muchas de las cuales son navegadores que usamos hoy en día.

El infostealer Raccoon, también conocido como Racealer, ha atraído seguidores en foros clandestinos gracias al marketing agresivo de su amplia gama de capacidades, el uso de hosting a prueba de balas y un backend fácil de usar. El malware se ofrece a un precio de $ 200 por mes y fue descubierto por primera vez por investigadores de la firma de ciberseguridad Cybereason en 2019.

Si bien es más costoso que otras ofertas independientes, el modelo basado en suscripción de Raccoon, que incluye soporte técnico, correcciones de errores y actualizaciones a un precio relativamente barato de Malware-As-A-Assistance (MaaS), así como su precio typical Las capacidades lo han convertido en una inversión que vale la pena para los ciberdelincuentes que buscan robar datos y criptomonedas.

Un nuevo análisis de la malware de Cyberark señala que muchos infostealers generalmente no son sofisticados y usan la misma variedad de técnicas para robar información. Sin embargo, en el caso de Raccoon, el malware C ++ puede robar datos de 35 navegadores y 60 aplicaciones en normal.

Según Cyberark, Raccoon generalmente se entrega a través de campañas de phishing y kits de exploits. Los correos electrónicos fraudulentos enviados a las posibles víctimas contienen archivos adjuntos de documentos de Microsoft Business office con macros maliciosas, mientras que los kits de exploits generalmente se alojan en sitios world-wide-web.

Las víctimas se perfilan para detectar posibles vulnerabilidades basadas en el navegador y, según este análisis, se las redirige al package de explotación apropiado.

Ver también: Este malware troyano fácil de usar para robar información está ganando rápidamente popularidad entre los cibercriminales

El servidor de comando y management (C2), necesario para la transferencia de información robada, así como para actualizaciones remotas de configuración de malware, tiene su dirección oculta a través de varias capas de cifrado.

Raccoon puede robar información financiera, credenciales en línea, datos de Computer system, como tipos y versiones de sistemas operativos, el idioma en uso y listas de aplicaciones instaladas, billeteras de criptomonedas e información del navegador, incluidas cookies, registros de historial y contenido de autocompletar.

El malware se dirige a una amplia variedad de navegadores populares de Mozilla y Chromium: Google Chrome, Google Chrome (Chrome SxS), Chromium, Xpom, Comodo Dragon, Amigo, Orbitum, Bromium, Nichrome, RockMelt, 360Browser, Vivaldi, Opera, Sputnik, Kometa, Uran, QIP Surf, Epic Privacy, CocCoc, CentBrowser, 7Star, Features, TorBro, Suhba, Safer Browser, Mustang, Superbird, Chedot, Torch, Online Explorer, Microsoft Edge, Firefox, WaterFox, SeaMonkey y PaleMoon.

Además, Raccoon intenta comprometer a los clientes de correo electrónico ThunderBird, Outlook y Foxmail.

Cyberark dice que el mismo procedimiento está en juego para cada aplicación de destino. El malware tomará los archivos de la aplicación que contienen datos confidenciales y los copiará en una carpeta temporal, realizará rutinas para extraer y descifrar información, escribirá este contenido en un archivo de texto separado y luego lo enviará a un C2.

CNET: Cómo las escuelas están usando los teléfonos de los niños para rastrearlos y vigilarlos

«Para extraer y descifrar las credenciales de las aplicaciones, Raccoon descarga las DLL específicas para las aplicaciones», dicen los investigadores. «El JSON de configuración contiene una URL desde donde el malware descargará esas bibliotecas».

La criptomoneda también está en riesgo. Raccoon buscará las billeteras Electrum, Ethereum, Exodus, Jaxx, Monero y Bither escaneando sus carpetas de aplicaciones predeterminadas, y también intentará tomar sus credenciales de billetera.

Una vez que Raccoon ha robado los datos que requiere, esta información se compila en un archivo comprimido .zip y se envía al C2. También puede actuar como un cuentagotas para cargas de malware adicionales.

TechRepublic: Presidente de RSA: los hackers han irrumpido en nuestros cerebros y han creado una historia de seguridad incorrecta

El malware continúa siendo respaldado por un equipo y el desarrollo está en curso. Recientemente, Raccoon también tuvo la capacidad de robar las credenciales del servidor FTP de FileZilla, se resolvieron los errores de la interfaz de usuario y los autores también crearon una opción para cifrar las compilaciones de malware personalizadas de la interfaz de usuario para descargarlas como un archivo DLL.

«Aunque Raccoon no es la herramienta más sofisticada disponible, sigue siendo muy well known entre los cibercriminales y probablemente seguirá siéndolo», dicen los investigadores. «Lo que solía estar reservado para atacantes más sofisticados ahora es posible incluso para jugadores novatos que pueden comprar ladrones como Raccoon y usarlos para obtener datos confidenciales de una organización».

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia initial