Uno dei più noti malware è ritornato in circolazione con una versione 2.0 che offre un numero maggiore di funzionalità. A fine marzo, i gestori del progetto Raccoon Stealer avevano comunicato la sospensione delle attività in seguito alla morte di un leader del gruppo durante l’invasione dell’Ucraina da parte della Russia. Gli altri membri del team hanno ora rilanciato il malware-as-a-service, aggiornando anche l’infrastruttura.
Raccoon Stealer risorge dalle ceneri
Alcuni ricercatori di sicurezza avevano scoperto un nuovo malware, al quale era stato dato il nome RecordBreaker. Successivamente si è scoperto che RecordBreaker è in realtà Raccoon Stealer v2. Anche questa versione viene distribuita principalmente tramite installer fasulli e software pirata. Il malware è stato scritto da zero in C/C++ con nuovi back-end, front-end e codice per il furto delle credenziali di login.
Raccoon Stealer scarica otto DLL dal server C2C (command and control), oltre ad alcune informazioni di configurazione. Il malware inizia quindi a raccogliere diversi dati dal computer (CPU, RAM, sistema operativo, risoluzione dello schermo e elenco delle applicazioni installate). Raccoon Stealer può catturare screenshot, rubare file, accedere a molti portafogli per criptovalute (MetaMask, TronLink, BinanceChain, Ronin, Exodus, Atomic, JaxxLiberty, Binance, Coinomi, Electrum, Electrum-LTC, ElectronCash e altri) e leggere numerose informazioni sensibili dai browser (password, cookie, dati delle carte di credito).
Il malware è ancora in sviluppo (manca ad esempio una funzionalità che impedisce la rilevazione), ma viene già offerto in abbonamento al prezzo di 275 dollari/mese o 125 dollari/settimana. Al momento non si segnalato attacchi. Dato che è solo questione di tempo, gli utenti devono sempre utilizzare una soluzione di sicurezza efficace, come F-Secure Total.