Comunicados de imprensa

Avast protege cerca de 600.000 usuários contra ataques Raccoon Stealer, ao longo de quase um ano

Pesquisa da Avast mostra que o ladrão de senhas, Raccoon Stealer, usa a plataforma de mensagens Telegram como catálogo de endereços para servidores C&C.

Pesquisa da Avast mostra que o ladrão de senhas, Raccoon Stealer, usa a plataforma de mensagens Telegram como catálogo de endereços para servidores C&C.


Brasil, São Paulo, 16 de março de 2021 — A Avast (LSE:AVST), líder global em segurança e privacidade digital, publicou uma análise do Raccoon Stealer, um ladrão de senhas projetado para roubar credenciais de login de usuários de e-mail e mensageiros, arquivos de carteiras de criptomoedas e instalar um malware de downloader capaz de inserir um malware adicional ou instalar o ransomware WhiteBackCrypt. O ladrão usa a infraestrutura do Telegram para armazenar e atualizar os endereços de comando e de controle (C&C), dos quais recebe comandos.

Capacidades do Raccoon Stealer

Os pesquisadores da Avast descobriram que o Raccoon Stealer é distribuído por downloaders chamados Buer Loader, mas também é disseminado junto com jogos falsos e enganosos, patches para software crackeado (incluindo hacks e mods para Fortnite, Valorant e NBA2K22), ou outros softwares.

O Raccoon Stealer é capaz de roubar:

  • Cookies, logins e dados salvos de formulários de navegadores;
  • Credenciais de login de usuários de mensageiros e e-mail;
  • Arquivos de carteiras de criptomoedas;
  • Dados de plugins de navegadores e extensões;
  • Arquivos arbitrários baseados em comandos de C&C.

“Geralmente, os cibercriminosos compram instalações, pagando para fazer com que o malware de sua escolha seja carregado nos dispositivos, por meio de um outro malware já instalado nos mesmos. Eles podem fornecer o mesmo serviço para outras pessoas e isso é o que acreditamos talvez ser o caso do Raccoon Stealer”, comenta Vladimir Martyanov, pesquisador de malware da Avast. “O interessante do Raccoon Stealer é o uso da infraestrutura do Telegram, para armazenar e atualizar os endereços C&C. Presumimos que os cibercriminosos usam o Telegram não apenas porque é conveniente, mas porque é improvável que os canais sejam desativados”.

Avast protege quase 600.000 usuários ao redor do mundo

A Avast bloqueou a maioria das tentativas de ataques no Brasil, Rússia e Argentina, usuários em países como Espanha, França, Estados Unidos, Alemanha e México também foram alvos. Os agentes por trás do Raccoon Stealer tentam evitar a infecção de dispositivos na Rússia e na Ásia Central, verificando o idioma usado nos dispositivos. Se o dispositivo estiver configurado para russo ou um idioma da Ásia Central, o ladrão irá parar e não realizará nenhuma atividade maliciosa. No entanto, os cibercriminosos usam o método "spray and pray" para disseminar o malware, o que significa que os usuários na Rússia ou na Ásia Central ainda podem encontrá-lo e, se o dispositivo estiver configurado para inglês, por padrão, o dispositivo poderá ser infectado.

De 3 de março de 2021 a 17 de fevereiro de 2022, a Avast protegeu quase 600.000 usuários contra ataques do Raccoon Stealer. No Brasil, a Avast protegeu mais de 42.000 usuários contra a ameaça no mesmo período.

A análise completa do Raccoon Stealer pode ser encontrada no blog Avast Decoded: https://decoded.avast.io/vladimirmartyanov/raccoon-stealer-trash-panda-abuses-telegram/