Originalmente encerrado em março de 2022, quando um dos seus desenvolvedores foi morto na invasão da Ucrânia pela Rússia, o malware Raccoon Stealer está de volta. Segundo analistas de segurança da Sekoia, a segunda versão do vírus, com infraestrutura atualizada e mais recursos, está sendo divulgada em fóruns de hackers desde o início deste mês.

No fim de 2020, o Raccoon foi um dos malwares utilizados por um grupo de cibercriminosos em uma campanha contra visitantes de sites pornô. Basicamente, o grupo, intitulado Malsmoke, inseria anúncios maliciosos em todas as redes de publicidade utilizadas por sites adultos. Estes usavam JavaScript para redirecionar os usuários e forçar a instalação de kits com uma série de malwares, entre eles o próprio Raccoon Stealer.

Entre as informações comumente subtraídas pelo virus, estão senhas de navegador, cookies, dados de preenchimento automático e cartões de crédito salvos, capturas de tela, arquivos individuais e listas de aplicativos. Os autores do malware afirmam que os dados exfiltrados são criptografados, mas a Sekoia não conseguiu identificar nenhuma função deste tipo na amostra analisada.

De acordo com o site Bleeping Computer, o Raccoon Stealer, que funciona como MaaS (no inglês, Malware as a Service), custa cerca de US$ 275 (em torno de R$ 1.450) por mês ou US$ 125 (em torno de R$ 660) semanais. MaaS são softwares maliciosos que são vendidos ou alugados para criminosos que desejam aplicar golpes virtuais, mas não têm expertise em tecnologia.

Tela principal do Raccoon Stealer
Tela principal do Raccoon Stealer (Reprodução/3xp0rtblog)

Nova versão é mais eficiente

O administrador do projeto para o Raccoon Stealer publicou um teaser no último dia 2, informando à comunidade de hackers que o teste do malware estava em andamento há duas semanas. Segundo os autores, a nova versão do Raccoon, construída do zero usando C e C++, apresenta novo back-end, front-end e código para roubar credenciais e outros dados.

Anteriormente, as empresas haviam identificado a família de malware como “RecordBreaker”. Agora, a análise técnica da Sekoia confirma que a amostra de 56 KB é o novo Raccoon, capaz de trabalhar em sistemas de 32 e 64 bits. Para efetuar a infecção, basta apenas oito bibliotecas DLL legítimas para vincular aos seus servidores.

De acordo com a Sekoia, o mais notável no Raccoon Stealer 2.0 é que, agora, o vírus envia dados cada vez que coleta um novo item. Isso aumenta o risco de detecção, mas garante a eficácia máxima até que o malware seja descoberto e eliminado do host.

Crédito da imagem principal: Black Kira/Shutterstock

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!