Ladrão de guaxinins obtém uma atualização, propaga malware adicional
Raccoon Stealer é o nome de um malware ladrão de criptomoedas e uma plataforma operada em um modelo de malware como serviço pelas pessoas que administram a Raccoon. O malware acaba de receber uma nova atualização, que os pesquisadores de segurança que trabalham com a Sophos separaram e publicaram uma análise de suas descobertas.
O Racoon Stealer é vendido principalmente em sites de hackers russos clandestinos e tem o objetivo de ser uma solução rápida e fácil para aspirantes a hackers que não conseguem codificar seu próprio malware do zero e estão dispostos a pagar para usar um produto existente. A atualização mais recente mudou várias coisas sobre o malware, conforme descrito pela Sophos.
Parece que o Raccoon Stealer está lentamente se afastando da propagação por meio de e-mails maliciosos e tentando gradualmente ganhar força nas páginas de resultados de pesquisa do Google, quando a consulta de pesquisa diz respeito a software crackeado ou pirateado. Esta não é a primeira vez que um malware é encontrado pegando carona em falsificações de software pago, mas mostra uma quantidade considerável de esforço por parte dos desenvolvedores da Raccoon para otimizar suas páginas maliciosas o suficiente para que tenham uma classificação tão alta nas pesquisas do Google, semelhante a "X crackado" ou "Y keygen".
Depois que o arquivo falso crackeado é baixado, as vítimas realmente executam um conta-gotas. Durante o processo de infecção, os droppers e executáveis neles contidos buscam arquivos compactados de extração automática. A Sophos descobriu que aqueles pareciam ter assinaturas originadas de ferramentas como 7zip ou WinZip, mas os cabeçalhos dos arquivos foram modificados ou as assinaturas foram de alguma forma falsificadas, já que essas ferramentas de arquivamento não podem abrir ou extrair os arquivos maliciosos.
Os diferentes tipos de carga útil final que o conta-gotas Raccoon Stealer pode fornecer variam e incluem malware criptominer, cryptostealers que monitoram strings da área de transferência e substituem strings de carteira encontradas pelos hackers, bem como extensões de navegador maliciosas.
O clipper da área de transferência que silenciosamente troca as cordas da carteira e redireciona efetivamente todas as transações feitas pela vítima para a carteira dos hackers é outra nova adição ao kit de ferramentas do Raccoon Stealer. Sohos está chamando o novo módulo clipper da Raccoon de "QuilClipper".
O Raccoon Stealer também usa uma quantidade considerável de ofuscação quando se trata de enviar e receber dados de qualquer sistema infectado.
