Cybereason enquête pendant 6 mois sur le nouveau malware, très populaire, Raccoon

0
170

Cybereason dévoile les résultats d’une enquête de 6 mois, sur le nouveau malware voleur d’informations Raccoon – propulsé dans le top 10 des malwares les plus populaires. Malgré son manque de sophistication, le malware proposé en mode as-a-service se répand rapidement sur la Toile, et se démarque notamment par un accompagnement de ses acheteurs digne d’un des meilleurs SAV.

Tribune – Depuis 6 mois, l’équipe de recherches sur les menaces de Cybereason, dirigée par Assaf Dahan & Lior Rochberger, enquête sur Raccoon, ce malware infostealer détecté pour la première fois en avril 2019.

Voici ci-dessous quelques-uns des principaux enseignements :

  • Le Raccoon infostealer – Depuis 6 mois l’équipe de Cybereason Nocturnus enquête sur le Raccoon infostealer, et est maintenant en mesure de donner une analyse approfondie des aspects techniques du malware ainsi que des indices sur ses auteurs vraisemblablement localisés en Russie
  • Une rapide propagation – Bien qu’il ait été lancé cette année, le Raccoon stealer gagne très rapidement en popularité sur le Dark Web et est devenu en 2019 l’un des 10 logiciels malveillants les plus cités sur le marché, contaminant des centaines de milliers de endpoints au niveau mondial, en Amérique du Nord, en Europe et notamment en France, en Asie, au sein de nombreuses entreprises et chez de nombreux particuliers.
  • Vol d’un large spectre de données – Dans l’ensemble, Raccoon manque de sophistication, mais tire parti de plusieurs méthodes de déploiement potentielles et est capable de voler un large éventail de données sensibles, notamment : des informations de carte de crédit, des portefeuilles de crypto-monnaies, des informations de navigateur, cookies, etc. des identifiants d’adresses mail et mot de passe, etc.
  • Une forte notoriété sur le Dark Web – L’équipe derrière Raccoon est saluée sur le Dark Web pour son impressionnant niveau de services, son soutien et la qualité de son expérience utilisateur, mais son équipe s’est également illustrée par plusieurs conflits internes ayant fait beaucoup de bruits sur les réseaux cachés.

L’équipe Cybereason Nocturnus a enquêté sur plusieurs exemples de piratages ayant impliqué le stealer Raccoon depuis avril 2019. Cet examen porte sur deux aspects clés :

  • Observations dans le Dark Net : une enquête sur l’origine du malware, les membres de l’équipe, les modèles, les versions, et les efforts de marketing, ainsi que la distribution de Raccoon au sein de la cybercriminalité et les querelles existantes entre l’équipe de Raccoon et leurs concurrents directs.
  • Répartition des logiciels malveillants : aperçu technique complet de la version actuelle de Raccoon. Capacités et méthodes de livraison, avec un aperçu de leurs plans futurs pour le malware.

Qu’est-ce que l’infostealer Raccoon ?

Le malware stealer Raccoon, également connu sous le nom de “Mohazo” ou “Racealer“, est à la base un simple voleur d’informations livrés par les kits d’exploitation Fallout et RIG. Il est utilisé pour voler les informations d’identification du navigateur, les données connexes, les clients de messagerie et les portefeuilles de crypto-monnaie. Bien qu’il ne soit pas trop sophistiqué ou novateur, il a largement dépassé ses objectifs après avoir infecté des centaines de milliers de périphériques à travers le monde. Il figure actuellement dans le top 10 des meilleures ventes dans l’économie souterraine de la cybercriminalité en 2019 !

Raccoon est développé en C++ et fonctionne sur les systèmes d’exploitation Windows 32 bits et 64 bits. Bien que ce a été à l’origine classé comme un voleur de mot de passe par de nombreuses entreprises antivirus, Cybereason et d’autres chercheurs en sécurité dans le la communauté le perçoivent comme exploitant des capacités plus vastes qu’un simple stealer.

En effet, Raccoon recherche dans les fichiers système une série de données confidentielles qu’il enregistre et envoie à son opérateur en toute discrétion. Il est capable de collecter les données suivantes :

  • Données de carte de crédit
  • Portefeuilles de crypto-monnaie
  • Mots de passe
  • Courriels
  • Données de tous les navigateurs populaires, y compris informations de carte de crédit, noms d’utilisateur, mots de passe
  • Cookies / sessions
  • Informations système

Le malware suit un modèle MaaS (malware-as-a-service). Les clients utilisent un hébergeur hébergé par TOR. Le service dispose d’un panneau de configuration pour lancer des attaques, et peut facilement exporter des données volées dans un fichier CSV pour plus de commodité. Pour contourner le pare-feu Windows et tenter de bloquer les connexions au serveur C2, le malware est équipé de proxies Jabber.

Qui est derrière Raccoon ?

Le malware Raccoon est développé par une équipe qui semble provenir de la Russie et être Russophone. L’équipe a tout d’abord promu le stealer exclusivement en russe via des forums de piratage informatique, mais le promeut maintenant activement dans les communautés anglophones. Il est agressivement commercialisé dans les milieux de la cybercriminalité clandestine et ce depuis avril 2019.

Toutes les communications directes de l’équipe de Raccoon proviennent de quelques personnes. Bien que l’identité de l’équipe responsable de Raccoon reste inconnue, de nombreux membres de la communauté clandestine attribue le projet à un autre membre connu, Glad0ff. Alexuiop1337, l’auteur du stealer Predator fut
le premier à faire cette allégation. Bien entendu, les accusations des concurrents directs devraient être prise avec des pincettes… Cependant, les pistes livrées par Alexuiop1337 ont permis de mettre en lumière des liens directs entre Glad0ff et Raccoon.

Une analyse du panel piraté de Raccoon et de la base de données clients implique également que l’administrateur de Raccoon est un utilisateur portant le pseudo de Glad0ff. L’utilisateur Glad0ff a été créé dans le base de données de Raccoon en février 2019, environ deux mois avant le début de la campagne de commercialisation agressive du malware auprès de la communauté clandestine.

Qui est Glad0ff ?

Glad0ff est un acteur menaçant de longue date responsable du développement de logiciels malveillants de types crypto-mineurs tels que Decrux et Acrux, du RAT Mimosa ainsi que du loader ProtonBot. Glad0ff ne s’adresse pas aux cyber-criminels sophistiqués mais à ceux à la recherche de solutions tout-en-un faciles à utiliser. Beaucoup de clients de Raccoon et des nombreux projets précédents de Glad0ff louent la qualité de service, du dévouement et de la réactivité lors de la résolution des problèmes. On croyait auparavant qu’il agissait seul, cependant, il semblerait que Raccoon ait impliqué d’autres membres.