Mapache Infostealer

Raccoon Infostealer (AKA Racealer), observado por primera vez en abril de 2019, es un Malware-as-a-Service (MaaS) simple pero popular, efectivo y barato que se vende en foros de la Dark Web. La carga útil de Raccoon es un binario modular C/C++ diseñado para infectar sistemas de 32 y 64 bits basados en Windows. Raccoon stealer se dirige a contraseñas, historial y cookies de autorrelleno del navegador, tarjetas de crédito, nombres de usuario, contraseñas, carteras de criptomonedas y otros datos confidenciales. 

A principios de 2022, los mantenedores de Raccoon interrumpieron temporalmente sus operaciones debido al impacto de la guerra de Ucrania en sus miembros. Sin embargo, en junio de 2022, Raccoon regresó con una versión actualizada, que incluía una infraestructura mejorada y una carga útil completamente reconstruida. En octubre de 2022, un miembro del grupo ucraniano Raccoon fue acusado por un gran jurado estadounidense de conspiración para violar la Ley de Fraude y Abuso Informático por su presunta participación en el desarrollo de Raccoon. Mark, de 26 años, había fingido anteriormente su muerte, afirmando haber muerto en la guerra entre Rusia y Ucrania.

A Raccoon se le atribuyen cientos de miles de infecciones y es comparable al prolífico malware Azorult stealer en cuanto a su impacto en la ciberseguridad mundial. Durante su apogeo, Raccoon fue una de las cepas de malware más discutidas en los foros de hackers, donde sus operadores promocionan Raccoon y proporcionan asistencia al cliente a los ciberdelincuentes. El MaaS de Raccoon cuesta sólo 75 dólares a la semana o 200 dólares al mes.

Tras la ejecución, Raccoon comprueba la presencia de su mutex: %UserName% + "m$V1-xV4v" en el sistema de destino para evitar una doble infección. Si no se encuentra, Raccoon crea el mutex, toma las huellas dactilares del sistema objetivo y envía los datos a uno de sus puestos de mando y control (C2). Raccoon suele utilizar Telegraph o Discord para las operaciones C2. La ubicación del host C2 de Raccon se oculta en la carga útil mediante codificación base64 y cifrado RC4. A partir de ahí, Raccoon utiliza la técnica de inyección de procesos para secuestrar el proceso legítimo explorer.exe y genera nuevos procesos con privilegios elevados.

En función del perfil de sistema del objetivo, Raccoon importa copias de DLL legítimas de Windows, extrae información sensible de aplicaciones conocidas y sigue un proceso estándar para cada aplicación objetivo. Este proceso localiza primero la caché de información confidencial de cada aplicación, copia el archivo de caché original en una carpeta temporal, extrae y cifra los datos confidenciales de la caché y, por último, escribe el contenido en el directorio operativo principal de Raccoon. 

Para los navegadores, Raccoon utiliza sqlite3.dll para consultar la base de datos SQLite de la aplicación y roba las contraseñas de inicio de sesión automático de los usuarios, los datos de las tarjetas de crédito, las cookies y el historial del navegador. Raccoon también tiene módulos personalizados para robar datos de las siguientes aplicaciones:

• Aplicaciones de criptomonedas: extrae Exodus, Monero, Jaxx, Binance y otras buscando archivos de datos de carteras en ubicaciones predeterminadas.
• Gestores de contraseñas: extrae los datos de Bitwarden, 1Password y LastPass de sus ubicaciones predeterminadas.
• Clientes de correo electrónico: extrae las comunicaciones por correo electrónico de Outlook, ThunderBird y Foxmail.
• Otras aplicaciones: extrae los datos de la plataforma de juegos Steam de , incluido el archivo de autorización de Steam o Steam Sentry File, así como las credenciales de inicio de sesión de las cuentas de Discord y Telegram.

Algunas versiones de Raccoon también pueden romper el cifrado TLS en determinadas condiciones, lo que permite a Raccoon actuar como intermediario (MiTM) en la conexión a Internet del host infectado. En particular, algunas versiones de Raccoon comprueban el identificador de preferencias de idioma del usuario de destino y detienen la operación si se detectan ubicaciones rusas, ucranianas, bielorrusas, kazajas, kirguisas, armenias, tayikas o uzbekas. Sin embargo, esta medida de seguridad para proteger a determinados grupos sólo se emplea en ocasiones.

La mejor manera de defenderse contra un ataque de Raccoon Infostealer es emplear una protección avanzada de los puntos finales en todos los dispositivos y aplicar fuertes controles de acceso, incluida la autenticación multifactor para evitar que las credenciales robadas conduzcan a la toma de posesión de la cuenta. 

Algunas actividades que pueden ayudar a protegerse contra un ataque de mapache:

• Considere la posibilidad de impartir formación de concienciación a los usuarios para educar al personal sobre las técnicas de phishing y desarrolle procedimientos operativos estándar (SOP) para el tratamiento de correos electrónicos y documentos sospechosos.
• Implantar una seguridad de red sólida, que incluya controles de acceso basados en funciones, autenticación multifactor y defensa en profundidad para reducir el daño potencial de las credenciales robadas. 
• Instalar y configurar productos avanzados de seguridad de puntos finales en todos los puntos finales para detectar indicadores de peligro (IOC) y tomar medidas defensivas para bloquear la ejecución de las cargas útiles de Raccoon.
• Implantar soluciones de confianza cero siempre que sea posible, dando prioridad a los sistemas críticos.