12-05-2025, 05:10 PM
Nombre:
Raccoon Stealer (Raccoon, RecordBreaker, Raccoon v2)
Categoría:
Infostealer (credenciales, cookies, wallets)
Fecha de descubrimiento:
Alrededor de 2019
Comportamiento (lo que hace y archivos que infecta):
Ejemplo de muestra pública (Raccoon Stealer v2):
Mitigación con GetOverX Shield v3.0.2.0 o superior:
Raccoon Stealer (Raccoon, RecordBreaker, Raccoon v2)
Categoría:
Infostealer (credenciales, cookies, wallets)
Fecha de descubrimiento:
Alrededor de 2019
Comportamiento (lo que hace y archivos que infecta):
- Se distribuye como servicio (MaaS) a otros criminales.
- Raccoon Stealer v2 ha sido visto específicamente propagándose mediante cracks y keygens falsos desde 2022.
- Roba credenciales, cookies, datos de autofill, criptowallets y otra información sensible.
- Puede recolectar información de sistema y enviar los datos a C2 usando infraestructura ofuscada (por ejemplo, URLs señuelo).
- Copia el ejecutable en ubicaciones de usuario y crea claves en
para ejecutarse en cada inicio.Code:Run
- A veces manipula configuraciones del navegador o añade tareas programadas para sobrevivir a reinicios.
Ejemplo de muestra pública (Raccoon Stealer v2):
Code:
0ce89e883be37a6576650db92a8da982fb0514f7ecb7747a0ed1c928118a4cb2- Antivirus:
- Escanear de forma prioritaria cualquier keygen o crack descargado, especialmente si viene acompañado de instrucciones para desactivar antivirus.
- Habilitar registros detallados para identificar en qué momento y desde qué ruta se ejecutó el binario malicioso.
- Escanear de forma prioritaria cualquier keygen o crack descargado, especialmente si viene acompañado de instrucciones para desactivar antivirus.
- Firewall:
- Restringir todo tráfico a dominios marcados como C2 de stealer cuando se disponga de IOCs.
- Aplicar segmentación de red para que un equipo comprometido no pueda alcanzar recursos sensibles sin pasar por controles adicionales.
- Restringir todo tráfico a dominios marcados como C2 de stealer cuando se disponga de IOCs.
- HIPS/EDR:
- Detectar intentos de enumeración de navegadores, clientes de correo y aplicaciones de mensajería.
- Bloquear procesos que, sin ser navegadores, traten de acceder a archivos de credenciales o cookies.
- Detectar intentos de enumeración de navegadores, clientes de correo y aplicaciones de mensajería.
- Sandbox:
- Probar cracks en Sandbox y revisar si se comunican con
o recursos similares que suelen usar muchos stealers (incluido Raccoon).Code:/gate/
- Probar cracks en Sandbox y revisar si se comunican con
- Medidas posteriores al incidente:
- Cambiar todas las credenciales almacenadas en navegadores y aplicaciones del equipo afectado.
- Investigar si los datos robados han sido usados para accesos no autorizados.
- Eliminar completamente el uso de cracks en entornos críticos.
- Cambiar todas las credenciales almacenadas en navegadores y aplicaciones del equipo afectado.