12-05-2025, 04:28 PM
Nombre: Raccoon Stealer (también conocido como Mohazo, Racealer, Raccoon v2)
Categoría: Infostealer (Malware-as-a-Service)
Fecha de descubrimiento: Reportado por primera vez en 2019; Raccoon Stealer v2 observado desde 2022
Comportamiento (lo que hace y archivos que infecta):
Raccoon Stealer es un ladrón de información disponible como servicio (MaaS). Sus capacidades incluyen:
- Robo de credenciales de navegadores (contraseñas, cookies, formularios).
- Robo de wallets de criptomonedas.
- Keylogging y recolección de información del sistema.
- Descarga de módulos y payloads adicionales.
Distribución:
- Campañas de phishing y malspam con adjuntos (documentos, ejecutables comprimidos).
- Malvertising y descargas de software crackeado.
- Uso de loaders que abusan de servicios cloud (por ejemplo, alojando payloads en servicios legítimos).
Archivos afectados:
- Perfiles de navegador y bases de datos de credenciales.
- Archivos de configuración de clientes FTP/VPN.
- Ficheros temporales donde empaqueta la información robada antes de enviarla al C2.
Persistencia:
Raccoon suele:
- Copiarse en directorios de usuario con nombres “limpios”.
- Registrar claves de autoejecución en el Registro.
- En algunas campañas, usar scripts con PowerShell y técnicas de process hollowing para inyectarse en procesos de sistema.
Hash real de referencia (SHA-256):
Muestra pública asociada a Raccoon Stealer:
Mitigación con GetOverX Shield v3.0.2.0:
Categoría: Infostealer (Malware-as-a-Service)
Fecha de descubrimiento: Reportado por primera vez en 2019; Raccoon Stealer v2 observado desde 2022
Comportamiento (lo que hace y archivos que infecta):
Raccoon Stealer es un ladrón de información disponible como servicio (MaaS). Sus capacidades incluyen:
- Robo de credenciales de navegadores (contraseñas, cookies, formularios).
- Robo de wallets de criptomonedas.
- Keylogging y recolección de información del sistema.
- Descarga de módulos y payloads adicionales.
Distribución:
- Campañas de phishing y malspam con adjuntos (documentos, ejecutables comprimidos).
- Malvertising y descargas de software crackeado.
- Uso de loaders que abusan de servicios cloud (por ejemplo, alojando payloads en servicios legítimos).
Archivos afectados:
- Perfiles de navegador y bases de datos de credenciales.
- Archivos de configuración de clientes FTP/VPN.
- Ficheros temporales donde empaqueta la información robada antes de enviarla al C2.
Persistencia:
Raccoon suele:
- Copiarse en directorios de usuario con nombres “limpios”.
- Registrar claves de autoejecución en el Registro.
- En algunas campañas, usar scripts con PowerShell y técnicas de process hollowing para inyectarse en procesos de sistema.
Hash real de referencia (SHA-256):
Muestra pública asociada a Raccoon Stealer:
Code:
b583d86c4abc6d6ca57bde802b7e9d8143a249aed6a560a4626e79ae13f6209dMitigación con GetOverX Shield v3.0.2.0:
- Antivirus:
Ejecutar un escaneo completo para detectar y eliminar el ejecutable de Raccoon y sus droppers. Prestar atención a binarios en %APPDATA%, %LOCALAPPDATA% y %TEMP%.
- Firewall:
- Bloquear conexiones salientes hacia dominios/IPs identificados como C2 de Raccoon.
- Monitorizar y, si es posible, restringir el uso de servicios cloud para tráfico saliente no autorizado desde estaciones de trabajo.
- HIPS/EDR:
Reglas recomendadas:
- Detección de acceso masivo a bases de datos de credenciales de navegadores y wallets.
- Detección de creación de archivos ZIP/RAR en carpetas temporales justo antes de conexiones salientes.
- Detección de keylogging y uso de PowerShell para descargar y ejecutar binarios.
Configurar respuesta automática para matar el proceso, bloquear el hash e informar al panel central.
- Sandbox:
Analizar:
- Ejecutables descargados de sitios de cracks/keygens.
- Adjuntos de correo sospechosos asociados a campañas recientes.
Observar si intentan robar información y comunicarse con paneles Raccoon.
- Medidas posteriores al incidente:
- Forzar cambio de todas las contraseñas usadas en ese equipo (correo, VPN, banca, paneles de hosting, criptomonedas).
- Verificar actividad inusual en cuentas de criptomonedas y servicios financieros.
- Revisar si se descargaron otros malware desde el mismo loader (posible cadena con otros stealers o ransomware).