Une étude d’Avast montre que le voleur de mots de passe Raccoon Stealer utilise la plateforme de messagerie Telegram comme carnet d’adresses pour les serveurs C&C.
Tribune – Avast, spécialiste mondial de la sécurité numérique et de la protection de la vie privée, publie aujourd’hui une analyse de Raccoon Stealer, un voleur de mots de passe conçu pour dérober les identifiants de connexion des clients de messagerie et des messagers, les fichiers des portefeuilles de cryptomonnaies, et installer un malware téléchargeur capable d’installer d’autres malwares, ou d’installer le ransomware WhiteBackCrypt. Le voleur utilise l’infrastructure Telegram pour stocker et mettre à jour les adresses de commande et de contrôle (C&C), à partir desquelles il reçoit des commandes.
Capacités de Raccoon Stealer
Les chercheurs d’Avast ont découvert que Raccoon Stealer est propagé par des téléchargeurs appelés Buer Loader, mais il est également distribué avec des faux tricheurs de jeux, des correctifs pour des logiciels piratés (notamment des hacks et des mods pour Fortnite, Valorant et NBA2K22) ou d’autres logiciels.
Raccoon Stealer est capable de voler :
- Les cookies, identifiants enregistrés et données de formulaire provenant des navigateurs
- Les identifiants de connexion des clients de messagerie et des messagers
- Les fichiers provenant de portefeuilles de cryptomonnaies
- Les données provenant des plugins de navigateur et des extensions
- Les fichiers arbitraires basés sur des commandes provenant du C&C
« Les cybercriminels achètent souvent des installations, en payant pour que le malware de leur choix soit chargé sur des appareils par d’autres malwares déjà installés sur ces appareils. Ils peuvent ensuite fournir le même service à d’autres, ce qui, selon nous, pourrait être le cas de Raccoon Stealer » commente Vladimir Martyanov, chercheur en malwares chez Avast. « Ce qui est intéressant avec Raccoon Stealer, c’est son utilisation de l’infrastructure Telegram pour stocker et mettre à jour les adresses C&C. Nous supposons que les cybercriminels utilisent Telegram non seulement parce que c’est pratique, mais aussi parce qu’il est peu probable que les canaux soient retirés. »
Avast protège près de 600 000 utilisateurs dans le monde entier
Avast a bloqué la majorité des tentatives d’attaque au Brésil, en Russie et en Argentine. Les acteurs derrière Raccoon Stealer essaient d’éviter d’infecter des appareils en Russie et en Asie centrale en vérifiant la langue utilisée sur l’appareil. Si l’appareil est réglé sur le russe ou une langue d’Asie centrale, le voleur s’arrête et n’effectue aucune activité malveillante. Cependant, les attaquants utilisent la méthode du « spray and pray » pour distribuer le malware, ce qui signifie que les utilisateurs en Russie ou en Asie centrale peuvent toujours tomber sur le malware, et si leur appareil est réglé sur l’anglais, par défaut, leur appareil pourrait être infecté.
Du 3 mars 2021 au 17 février 2022, Avast a protégé près de 600 000 utilisateurs contre les attaques de Raccoon Stealer. En France, Avast a protégé plus de 17 000 utilisateurs de cette menace dans le même laps de temps.
L’analyse complète de Raccoon Stealer est disponible sur le blog Avast Decoded.