GETOVERX FORUM Community Support
Raccoon Stealer (v1 / v2) - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Stealers (https://forum.getoverx.com/forumdisplay.php?fid=28)
+--- Thread: Raccoon Stealer (v1 / v2) (/showthread.php?tid=113)

Raccoon Stealer (v1 / v2) - mrwebfeeder - 12-05-2025

Nombre: Raccoon Stealer (también conocido como Mohazo, Racealer, Raccoon v2)

Categoría: Infostealer (Malware-as-a-Service)

Fecha de descubrimiento: Reportado por primera vez en 2019; Raccoon Stealer v2 observado desde 2022

Comportamiento (lo que hace y archivos que infecta):
Raccoon Stealer es un ladrón de información disponible como servicio (MaaS). Sus capacidades incluyen:
- Robo de credenciales de navegadores (contraseñas, cookies, formularios).
- Robo de wallets de criptomonedas.
- Keylogging y recolección de información del sistema.
- Descarga de módulos y payloads adicionales.

Distribución:
- Campañas de phishing y malspam con adjuntos (documentos, ejecutables comprimidos).
- Malvertising y descargas de software crackeado.
- Uso de loaders que abusan de servicios cloud (por ejemplo, alojando payloads en servicios legítimos).

Archivos afectados:
- Perfiles de navegador y bases de datos de credenciales.
- Archivos de configuración de clientes FTP/VPN.
- Ficheros temporales donde empaqueta la información robada antes de enviarla al C2.

Persistencia:
Raccoon suele:
- Copiarse en directorios de usuario con nombres “limpios”.
- Registrar claves de autoejecución en el Registro.
- En algunas campañas, usar scripts con PowerShell y técnicas de process hollowing para inyectarse en procesos de sistema.

Hash real de referencia (SHA-256):
Muestra pública asociada a Raccoon Stealer:
Code:
b583d86c4abc6d6ca57bde802b7e9d8143a249aed6a560a4626e79ae13f6209d

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    Ejecutar un escaneo completo para detectar y eliminar el ejecutable de Raccoon y sus droppers. Prestar atención a binarios en %APPDATA%, %LOCALAPPDATA% y %TEMP%.

  • Firewall:
    - Bloquear conexiones salientes hacia dominios/IPs identificados como C2 de Raccoon.
    - Monitorizar y, si es posible, restringir el uso de servicios cloud para tráfico saliente no autorizado desde estaciones de trabajo.

  • HIPS/EDR:
    Reglas recomendadas:
    - Detección de acceso masivo a bases de datos de credenciales de navegadores y wallets.
    - Detección de creación de archivos ZIP/RAR en carpetas temporales justo antes de conexiones salientes.
    - Detección de keylogging y uso de PowerShell para descargar y ejecutar binarios.
    Configurar respuesta automática para matar el proceso, bloquear el hash e informar al panel central.

  • Sandbox:
    Analizar:
    - Ejecutables descargados de sitios de cracks/keygens.
    - Adjuntos de correo sospechosos asociados a campañas recientes.
    Observar si intentan robar información y comunicarse con paneles Raccoon.

  • Medidas posteriores al incidente:
    - Forzar cambio de todas las contraseñas usadas en ese equipo (correo, VPN, banca, paneles de hosting, criptomonedas).
    - Verificar actividad inusual en cuentas de criptomonedas y servicios financieros.
    - Revisar si se descargaron otros malware desde el mismo loader (posible cadena con otros stealers o ransomware).