Brasil, São Paulo, 16 de março de 2021 — A Avast (LSE:AVST), líder global em segurança e privacidade digital, publicou uma análise do Raccoon Stealer, um ladrão de senhas projetado para roubar credenciais de login de usuários de e-mail e mensageiros, arquivos de carteiras de criptomoedas e instalar um malware de downloader capaz de inserir um malware adicional ou instalar o ransomware WhiteBackCrypt. O ladrão usa a infraestrutura do Telegram para armazenar e atualizar os endereços de comando e de controle (C&C), dos quais recebe comandos.
Os pesquisadores da Avast descobriram que o Raccoon Stealer é distribuído por downloaders chamados Buer Loader, mas também é disseminado junto com jogos falsos e enganosos, patches para software crackeado (incluindo hacks e mods para Fortnite, Valorant e NBA2K22), ou outros softwares.
O Raccoon Stealer é capaz de roubar:
“Geralmente, os cibercriminosos compram instalações, pagando para fazer com que o malware de sua escolha seja carregado nos dispositivos, por meio de um outro malware já instalado nos mesmos. Eles podem fornecer o mesmo serviço para outras pessoas e isso é o que acreditamos talvez ser o caso do Raccoon Stealer”, comenta Vladimir Martyanov, pesquisador de malware da Avast. “O interessante do Raccoon Stealer é o uso da infraestrutura do Telegram, para armazenar e atualizar os endereços C&C. Presumimos que os cibercriminosos usam o Telegram não apenas porque é conveniente, mas porque é improvável que os canais sejam desativados”.
A Avast bloqueou a maioria das tentativas de ataques no Brasil, Rússia e Argentina, usuários em países como Espanha, França, Estados Unidos, Alemanha e México também foram alvos. Os agentes por trás do Raccoon Stealer tentam evitar a infecção de dispositivos na Rússia e na Ásia Central, verificando o idioma usado nos dispositivos. Se o dispositivo estiver configurado para russo ou um idioma da Ásia Central, o ladrão irá parar e não realizará nenhuma atividade maliciosa. No entanto, os cibercriminosos usam o método "spray and pray" para disseminar o malware, o que significa que os usuários na Rússia ou na Ásia Central ainda podem encontrá-lo e, se o dispositivo estiver configurado para inglês, por padrão, o dispositivo poderá ser infectado.
De 3 de março de 2021 a 17 de fevereiro de 2022, a Avast protegeu quase 600.000 usuários contra ataques do Raccoon Stealer. No Brasil, a Avast protegeu mais de 42.000 usuários contra a ameaça no mesmo período.
A análise completa do Raccoon Stealer pode ser encontrada no blog Avast Decoded: https://decoded.avast.io/vladimirmartyanov/raccoon-stealer-trash-panda-abuses-telegram/