Un equipo de investigación de Reason Labs ha descubierto una nueva variante de la familia de malware Raccoon.
Inicialmente descubierto en 2019, la familia de malware Raccoon se utiliza para robar datos confidenciales e información del navegador.
Según el informe Reason Security , la nueva variante se disfraza de instaladores de programas conocidos y legítimos.
La nueva muestra de malware voló por debajo del radar AV, dice el equipo, y solo hubo tres detecciones mínimas hace más de dos semanas. En este artículo, analizamos esta nueva variante, sus métodos de ataque y técnicas de disfraz.
La familia de malware Raccoon es un troyano que roba datos de usuarios de unos 60 navegadores, así como credenciales de varias billeteras de criptomonedas y el troyano es capaz de tomar capturas de pantalla de la máquina víctima y capturar información, explica el equipo.
Las primeras versiones vistas, ITW, fueron escritas en C ++, pero ha pasado un año y los autores del malware han desarrollado nuevas versiones escritas en Borland Delphi, aparentemente para dificultar su detección y análisis.
El malware viene dentro de un instalador de Inno Setup que se encarga de instalar tanto el programa original como el malware.
Las muestras que el equipo de seguridad de Reason imita a los instaladores de programas benignos (es decir, Bandicam, Revo Uninstaller) pero esconden un troyano dentro de ellos, dice el equipo.
«La instalación de los programas originales (que generalmente son versiones descifradas de programas que tienen una versión paga, para que el usuario sepa que la instalación no es del sitio original) continuará como de costumbre, por lo que el usuario no sospechará que algo sospechoso sucedió.
El flujo de ejecución de la instalación de Troya es muy evidente, con líneas de comando de alerta y la ejecución de PowerShell y VBScript, que deberían haber despertado las alarmas en todos los productos de seguridad. Sin embargo, por alguna razón, las muestras que capturamos tenían solo tres mínimos detecciones en VirusTotal (y a partir del 6 de mayo de 2020, incluso 0 detecciones!). Las muestras se cargaron a VT hace más de dos semanas «, dice el informe.
Según el informe, el malware deshabilitará Windows Defender usando PowerShell, usará VBS para descomprimir los ejecutables de un archivo zip protegido por contraseña contenido en el instalador y cambiará el registro para deshabilitar la solicitud de aprobación del administrador.
La comunicación de red sofisticada sigue siendo la misma que en las primeras versiones: solicitudes web a Google Docs (o GitHub) para adquirir la dirección IP del CNC del malware, explica el equipo de seguridad, de esa manera la dirección no está codificada en la muestra.
NotiVeraz