Gli esperti di Avast si sono imbattuti in un password stealer, denominato dal suo autore Raccoon Stealer, che utilizza l’infrastruttura di Telegram per archiviare e aggiornare gli C&C indirizzi effettivi.

Raccoon Stealer è scritto C/C++e compilato utilizzando Visual Studio. I campioni hanno una dimensione di circa 580-600 kB. Una volta eseguito, Racoon Stealer inizia a controllare la localizzazione utente predefinita impostata sul dispositivo infetto e non funzionerà se è russo, ucraino, bielorusso, kazako, Kirghizistan, armeno, tagico e uzbeko.

Gli esperti spiegano che l’aspetto più interessante di questo stealer è la sua comunicazione con i C&C. Ci sono quattro valori cruciali per la sua comunicazione C&C, che sono codificati in ogni campione di Raccoon Stealer:

  • MAIN_KEY. Questo valore è stato modificato quattro volte nel corso dell’anno.
  • URLsdi porte Telegram con nome del canale. I gate vengono utilizzati per non implementare un complicato protocollo Telegram e per non archiviare credenziali all’interno dei campioni
  • BotID– stringa esadecimale, inviata ogni volta al C&C
  • TELEGRAM_KEY– una chiave per decifrare l’indirizzo C&C ottenuto da Telegram Gate

Raccoon Stealer è in grado di rubare non solo password, ma anche cookie, login salvati e dati dei moduli dai browser, credenziali di accesso da client di posta elettronica e messenger, file da portafogli crittografici, dati da plugin ed estensioni del browser e file arbitrari basati sui comandi di C&C. Inoltre, è in grado di scaricare ed eseguire file arbitrari tramite comando dal suo C&C.

Delle oltre 1.300 configurazioni distinte estratte dagli esperti, 429 di esse sono canali Telegram unici e alcuni di essi sono stati utilizzati solo in una singola configurazione, altri sono stati utilizzati dozzine di volte.

I campioni più vecchi di Raccoon Stealer risalgono ad aprile 2019. I suoi autori avevano dichiarato lo stesso mese l’inizio della vendita del malware sui forum sotterranei e da allora è stato aggiornato molte volte (gli autori hanno corretto bug, aggiunto funzionalità e altro ancora) e da marzo 2021 è molto diffuso e pericoloso.

Raccoon viene distribuito tramite downloader: Buer Loadere GCleaner. Gli esperti ritengono che venga anche distribuito anche sotto forma di fake game cheats, patches for cracked software (inclusi hack e mod per Fortnite, Valorante NBA2K22) o altro software. Tenendo conto che Raccoon Stealer è in vendita, le sue tecniche di distribuzione sono limitate solo dall’immaginazione degli acquirenti finali.

Gli esperti prevedono che Raccoon Stealer potrebbe essere utilizzato in modo più ampio da altri gruppi di criminalità informatica.

 

https://decoded.avast.io/vladimirmartyanov/raccoon-stealer-trash-panda-abuses-telegram/

 

 

Twitter
Visit Us
LinkedIn
Share
YOUTUBE