Ladrão de informações de guaxinins

O Raccoon Infostealer (também conhecido como Racealer), observado pela primeira vez em abril de 2019, é um Malware-as-a-Service (MaaS) simples, mas popular, eficaz e barato, vendido em fóruns da Dark Web. A carga útil do Raccoon é um binário modular C/C++ projetado para infectar sistemas de 32 e 64 bits baseados no Windows. O Raccoon stealer tem como alvo senhas de preenchimento automático do navegador, histórico e cookies, cartões de crédito, nomes de usuário, senhas, carteiras de criptomoedas e outros dados confidenciais. 

No início de 2022, os mantenedores da Raccoon interromperam temporariamente as operações devido ao impacto da guerra da Ucrânia em seus membros. No entanto, em junho de 2022, a Raccoon retornou com uma versão atualizada, incluindo infraestrutura atualizada e uma carga útil completamente reconstruída. Em outubro de 2022, um membro do grupo Raccoon baseado na Ucrânia foi indiciado por um grande júri dos EUA por conspiração para violar a Lei de Fraude e Abuso de Computador por sua suposta participação no desenvolvimento do Raccoon. Mark, de 26 anos, já havia fingido sua morte, alegando ter sido morto na guerra entre a Rússia e a Ucrânia.

O Raccoon foi atribuído a centenas de milhares de infecções e é comparável ao prolífico malware Azorult stealer em termos de impacto na segurança cibernética global. Durante seu auge, o Raccoon foi uma das linhagens de malware mais discutidas em fóruns de hackers, onde seus operadores promovem o Raccoon e fornecem suporte ao cliente para criminosos cibernéticos. O MaaS da Raccoon custa apenas US$ 75 por semana ou US$ 200 mensais.

Após a execução, o Raccoon verifica a presença de seu mutex: %UserName% + "m$V1-xV4v" no sistema de destino para evitar uma infecção dupla. Se não for encontrado, o Raccoon cria o mutex, faz a impressão digital do sistema de destino e envia os dados para um de seus postos avançados de comando e controle (C2). Normalmente, o Raccoon usa o Telegraph ou o Discord para operações de C2. O local do host C2 do Raccon é ofuscado na carga útil usando codificação base64 e criptografia RC4. A partir daí, o Raccoon usa a técnica de injeção de processo para sequestrar o processo explorer.exe legítimo e gerar novos processos com privilégios elevados.

Dependendo do perfil do sistema do alvo, a Raccoon importa cópias de DLLs legítimas do Windows, extrai informações confidenciais de aplicativos conhecidos e segue um processo padrão para cada aplicativo visado. Esse processo primeiro localiza o cache de informações confidenciais de cada aplicativo, copia o arquivo de cache original para uma pasta temporária, extrai e criptografa os dados confidenciais do cache e, por fim, grava o conteúdo no diretório operacional principal do Raccoon. 

Para navegadores, o Raccoon usa o sqlite3.dll para consultar o banco de dados SQLite do aplicativo e rouba senhas de login automático do usuário, dados de cartão de crédito, cookies e histórico do navegador. O Raccoon também tem módulos personalizados para roubar dados dos seguintes aplicativos:

• Aplicativos de criptomoeda: extrai Exodus, Monero, Jaxx, Binance e outros, procurando por arquivos de dados de carteira em locais padrão
• Gerenciadores de senhas: extrai os dados do Bitwarden, 1Password e LastPass de seus locais padrão
• Clientes de e-mail: extrai comunicações de e-mail do Outlook, ThunderBird e Foxmail
• Outros aplicativos: extrai dados da plataforma de jogos Steam , incluindo o arquivo Steam Authorisation ou Steam Sentry, bem como credenciais de login de contas do Discord e do Telegram

Algumas versões do Raccoon também podem violar a criptografia TLS sob certas condições, permitindo que o Raccoon efetivamente faça man-in-the-middle (MiTM) na conexão de Internet do host infectado. Notavelmente, algumas versões do Raccoon verificam o identificador de preferência de idioma do usuário alvo e interrompem a operação se forem detectados locais em russo, ucraniano, bielorrusso, cazaque, quirguiz, armênio, tadjique ou uzbeque. No entanto, essa medida de segurança para proteger determinados grupos é empregada apenas algumas vezes.

A melhor maneira de se defender contra um ataque do Raccoon Infostealer é empregar proteção avançada de endpoints em todos os dispositivos e aplicar controles de acesso rígidos, incluindo autenticação multifator para evitar que credenciais roubadas levem à aquisição de contas. 

Algumas atividades que podem ajudar a proteger contra um ataque de guaxinim:

• Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing e desenvolva procedimentos operacionais padrão (SOP) para lidar com e-mails e documentos suspeitos
• Implemente uma forte segurança de rede, incluindo privilégios mínimos, controles de acesso baseados em funções, autenticação multifatorial e defesa em profundidade para reduzir os possíveis danos causados por credenciais roubadas. 
• Instalar e configurar produtos avançados de segurança de endpoint em todos os endpoints para detectar indicadores de comprometimento (IOC) e tomar medidas defensivas para impedir a execução de cargas úteis do Raccoon
• Implementar soluções Zero Trust sempre que possível, dando prioridade aos sistemas críticos