Sommaire
Raccoon Stealer a été l’un des voleurs d’informations les plus prolifiques en 2021, utilisé par plusieurs acteurs cybercriminels. En raison de ses vastes capacités de vol, de la personnalisation du logiciel malveillant et de sa facilité d’utilisation, Raccoon Stealer était très populaire parmi les acteurs de la menace. Le logiciel malveillant a été principalement distribué à l’aide de faux installateurs ou de versions piratées de logiciels populaires.
Auparavant vendu en tant que malware-as-a-service sur des forums clandestins depuis début 2019, ses opérations se sont soudainement arrêtées le 25 mars 2022. Cet arrêt brutal aurait été dû à la perte d’un développeur du projet Raccoon Stealer lors de « l’opération spéciale « , probablement en référence au conflit russe en Ukraine. À l’époque, le ratons laveurs indiquait sur plusieurs forums qu’ils « ne se disent pas au revoir pour toujours », et qu’ils travaillaient déjà sur une deuxième version.
Figure 1. Déclaration de Raccoonstealer sur l’arrêt du projet Raccoon Stealer sur le forum XSS
SEKOIA.IO a gardé un œil attentif sur les activités liées à Raccoon Stealer car il est estimé qu’il fait un retour en force sur le marché des voleurs d’informations.
Nous avons rétro-conçu la nouvelle version de Raccoon Stealer et notre analyse approfondie est disponible dans la partie 2 sur : https://blog.sekoia.io/raccoon-stealer-v2-part-2-in-depth-analysis/.
Premiers signes de vie
Le 10 juin 2022, alors qu’ils cherchaient les panneaux d’administration des voleurs sur le moteur de recherche Shodan, les analystes de SEKOIA.IO sont tombés sur des serveurs actifs hébergeant une page web nommée « Raccoon Stealer 2.0 ».
Figure 2. Serveur hébergeant une page web nommée « Raccoon Stealer 2.0 » sur Shodan
Après analyse des fichiers sur le serveur, nous avons pu affirmer avec une grande confiance que ces serveurs appartiennent à l’infrastructure Raccoon Stealer. En effet plusieurs artefacts techniques suggèrent que ce panneau est lié au malware :
- le titre HTTP : Raccoon Stealer 2.0 ;
- le domaine émis dans les certificats SSL : raccoonstealer[.]app ;
- plusieurs références au raccoonstealer dans le code Javascript : contacts :[{title: »Jabber »,content: »raccoonstealer[@]exploit[.]im »}, {title: »Telegram »,content: »[@]raccoonstealer « }]
Sur la base de ces informations, nous sommes tombés sur Raccoonstealersur le forum clandestin Exploit et leur chaîne Telegram confirmant qu’une première version de Raccoon Stealer v2 est vendue sur Telegram depuis le 17 mai.
Figure 3. Publication dans la chaîne Telegram de Raccoonstealer publicité du malware
Cependant, nous n’avons pas pu trouver d’échantillons de malware distribués dans la nature à l’époque.
Échantillons dans la nature
Le 16 juin 2022, S2W a publié une analyse complète1 de la nouvelle version de Raccoon Stealer. Sur la base d’un fichier créé par le malware (System Info.txt), ils ont attribué des charges utiles distribuées dans la nature au Raccoon Stealer V2. Ce fichier contient des informations sur le système de la victime.
L’échantillon analysé par S2W correspond à une famille de logiciels malveillants récemment découverte discutée sur Twitter par des chercheurs en cybersécurité, qui a ensuite été nommée RecordBreaker par @James_inthe_box (tweet connexe). Raccoon Stealer v2 et RecordBreaker pourraient être deux noms différents pour la même famille de logiciels malveillants.
Des échantillons de Raccoon Stealer v2 ont donc été observés dans la nature depuis le 16 mai 2022. Comme pour la version précédente, acteurs de la menace distribuent principalement le voleur d’informations à l’aide de faux installateurs ou de versions piratées de logiciels populaires. Voici quelques exemples de faux programmes d’installation de logiciels légitimes :
- installation de F‑Secure FREEDOME VPN (F-Secure Freedome VPN 2.50.23.0.licensesrv.exe_KaHCr.exe) ;
- installation du réseau R-Studio (R-Studio.v9.0.190312.licencekey.exe_v3G9m.exe);
- Proton VPN (ProtonVPN.exe).
Attribution de l’échantillon de malware
Afin de confirmer que l’échantillon analysé par S2W correspond à un échantillon de Raccoon Stealer v2, nous avons comparé le contenu des raccoonstealerpublications sur leur chaîne Telegram avec notre analyse technique du voleur.
Les publications faisant la publicité de Raccoon Stealer v2 sont promues par ses développeurs auprès de la communauté des utilisateurs. Les auteurs se concentrent donc sur l’expérience utilisateur des attaquants (performances, traitement des logs, intégrité, etc.) qui peut être embellie. Cependant, raccoon stealer a partagé les caractéristiques techniques de son logiciel malveillant. Dans le tableau suivant, nous avons répertorié ces descriptions à comparer avec nos observations lors de l’analyse.
| Descriptions tirées de la chaine de Raccoon stealer sur Telegram | commentaire de SEKOIA.IO |
| « le styler est écrit en C/C++ » | Sur la base de l’analyse des échantillons, nous avons observé le code malveillant écrit en C/C++ et un peu d’ASM. |
| « Raccoon collecte : les mots de passe, les cookies et la saisie semi-automatique de tous les navigateurs populaires (y compris FireFox x64), les données CC » | Par défaut (une configuration spécifique n’est pas nécessaire), les échantillons de logiciels malveillants collectent des données à partir des bases de données SQL des navigateurs. |
| « Raccoon collecte des informations sur le système » | Le logiciel malveillant prend les empreintes digitales du système infecté à l’aide des requêtes du registre Windows et d’autres fonctions WinApi (par exemple , RAM, CPU, affichage, logiciels installés). |
| « presque tous les portefeuilles de crypto-monnaie de bureau existants » | Cela est confirmé par la configuration du logiciel malveillant qui intègre de nombreuses extensions de navigateur de portefeuilles de crypto-monnaie et des applications de bureau. La configuration peut être personnalisée pour collecter des données à partir d’autres portefeuilles, simplement en définissant le chemin et le fichier ciblé. |
| « Téléchargeur de fichiers intégré » | Le logiciel malveillant implémente sa propre fonction d’écoute de répertoire pour récupérer des fichiers. |
| « Fonctionne sur les systèmes 32 et 64 bits sans dépendances sur .NET. » | Le malware n’a pas besoin de dépendances, il télécharge plutôt 8 DLL une fois exécuté. |
| « La clé privée, l’adresse de la porte et toutes les autres valeurs de chaîne sont fortement cryptées. » | Les adresses et les chaînes C2 sont cryptées à l’aide de (RC4 et Base64), pas fortement, peut-être que le ratons laveurs a utilisé ce terme pour le marketing ? La clé privée correspond-elle à la clé RC4, stockée dans la section .rdata ? |
| « Le HTTP pour l’envoi aux gestionnaires et aux serveurs de fichiers est crypté. » | Nous n’avons observé aucun cryptage des données exfiltrées. |
| « Capture d’écran, informations système, chaque profil de navigateur est envoyé séparément. Chaque portefeuille – envoyé séparément » | Assez discriminant, le malware envoie des données à chaque fois qu’il en collecte un nouveau : les informations système, les données des navigateurs, les données des portefeuilles (pour chaque extension de portefeuille /desktop trouvé) et la capture d’écran. |
| « Saisie de fichiers retravaillée (…) parcourant tous les disques, y compris USB avec profondeur de recherche » | Le logiciel malveillant implémente sa propre fonction d’écoute de répertoire pour récupérer des fichiers. |
| « Le poids du fichier exécutable du Stiller n’est que de 50 Ko » | Tous les échantillons observés autonomes font 55 Ko ou 56 Ko. |
| « Nous avons également repensé le chargeur. Vous pouvez maintenant choisir où installer le fichier (Low, Temp, AppData). CMD/DLL/EXE » | Deux façons d’exécuter une charge utile sont implémentées dans le logiciel malveillant, mais nous n’avons examiné que le fonction d’exécution PE téléchargée. |
Figure 4. Tableau comparatif des fonctionnalités partagées par raccoonstealer et l’analyse de SEKOIA.IO
Presque toutes les fonctionnalités ou détails techniques annoncés par raccoonstealer, correspondent à ceux observés lors de notre analyse des malwares. Certaines propriétés du malware sont assez génériques (collecte des données du navigateur et des informations système, capture d’écran, chiffrement de l’adresse et des chaînes C2) parmi la famille des malwares voleurs d’informations, mais d’autres sont plutôt spécifiques et valident l’attribution à Raccoon (envoi des données séparément, le téléchargeur de fichiers intégré, le récupérateur de fichiers parcourant tous les disques et le chargeur spécifique).
Il est à noter que les auteurs annoncent que Raccoon Stealer v2 exfiltre les données chiffrées, mais nous n’avons observé aucun chiffrement ou obfuscation dans les communications C2 lors de notre analyse. Cela semble être le seul point qui diffère entre la ratons laveurset nos observations. Cependant, il ne faut pas oublier que leur objectif est de commercialiser le malware, et ils pourraient abuser de certaines expressions pour ce faire. En effet, nous avons déjà constaté de telles divergences sur les publications de la MarsTeam à propos de Mars Stealer sur le forum XSS2.
De plus, la date d’apparition des premiers échantillons correspond à celle des serveurs « Raccoon Stealer 2.0 » susmentionnés, ainsi que la date de publication de raccoonstealer dans leur chaîne Telegram (vers le 17 mai 2022).
Analyse technique de Raccoon stealer
Sur la chaine Telegram de Raccoon stealer, la nouvelle version du malware a été annoncée avec un logiciel (back-end et front-end) amélioré. Les développeurs de Raccoon Stealer ont réécrit le logiciel malveillant et le panneau d’administration à partir de zéro, en mettant l’accent sur les performances et l’efficacité. Dans la partie suivante, SEKOIA.IO a analysé en profondeur le malware et sa communication.
Les capacités du logiciel malveillant Raccoon stealer
Les capacités de raccoon stealer sont celles d’un voleur classique, avec un accent sur les portefeuilles de crypto-monnaie. Le malware est également présenté comme un chargeur et un récupérateur de fichiers.
Voici un aperçu de ses capacités :
- Ciblage des navigateurs populaires (pour voler les mots de passe, les cookies, les formulaires automatiques et les cartes de crédit) ;
- Ciblage de presque tous les portefeuilles de crypto-monnaie de bureau et extension pour les portefeuilles de crypto-monnaie (MetaMask, TronLink, BinanceChain, Ronin, Exodus, Atomic, JaxxLiberty, Binance, Coinomi, Electrum, Electrum-LTC, ElectronCash, etc.);
- Téléchargement de fichiers ;
- Chargement de fichiers (cmd, dll, exe);
- Récupération de fichiers sur tous les disques ;
- Capture d’écran ;
- empreintes digitales du système ;
- Liste des applications installées.
Les capacités annoncées sur Telegram correspondent à celles identifiées lors de notre analyse.
Analyse approfondie de raccoon stealer
Raccoon Stealer v2 est écrit en C/C++ avec WinApi. La taille de l’échantillon est d’environ 56 Ko, fonctionnant sur les systèmes 32 et 64 bits sans aucune dépendance. Le logiciel malveillant télécharge des DLL tierces légitimes à partir de son ou ses serveurs C2. La configuration et les chaînes C2 sont chiffrées à l’aide de l’encodage RC4 et Base64.
SEKOIA.IO a rétro-conçu le malware et publiera bientôt une analyse approfondie pour partager plus de détails.
En attendant, voici une description pas à pas de l’exécution de Raccoon Stealer v2 :
- Chargement dynamique des DLL ;
- Liaison dynamique d’exécution des fonctions WinApi ;
- Désobscurcissement des chaînes (décodage base64 et décryptage RC4) ;
- Désobscurcissement du ou des serveurs C2 ;
- Vérifications (mutex, privilèges utilisateur) ;
- Empreinte de l’hôte (MachineGuid, Nom d’utilisateur) et exfiltration de données ;
- Récupérer sa configuration depuis son C2 ;
- Téléchargement, puis chargement des DLL tierces légitimes ;
- Prenez une empreinte digitale de l’hôte infecté (CPU, RAM, version du système d’exploitation, informations d’affichage) et envoyez ces données au C2 ;
- Collecter des informations personnelles et les exfiltrer (informations système, navigateurs, portefeuilles cryptographiques) ;
- Capturer une capture d’écran et l’exfiltrer ;
- Suppression des fichiers créés par le logiciel malveillant.
Fait intéressant, lors de la phase de collecte, le malware collecte les données et les envoie directement dans un fichier via une requête POST au serveur C2. Il répète cette étape pour chaque nouveau type de données (informations système, cookies, capture d’écran, etc.).
Il convient de noter que le logiciel malveillant n’implémente pratiquement aucune technique d’évasion de la défense, telle que l’anti-analyse, l’obscurcissement ou l’altération des défenses.
Infrastructure réseau du malware
Le malware envoie d’abord une requête POST à son serveur C2 avec le machineId, le nom d’utilisateur et configurationId (qui correspond à la clé RC4). Le serveur répond avec la configuration complète du logiciel malveillant, y compris, comme illustré dans la figure suivante :
- Applications à cibler ;
- URL hébergeant les DLL tierces légitimes ;
- Token utilisé pour l’extraction de données (correspond au endpoint du C2) ;
- Configuration du récupérateur de fichiers, etc.
Figure 5. Capture réseau de la communication initiée par le malware sur la machine infectée et son serveur C2
Raccoon Stealer v2 télécharge alors toutes les DLL, parfois hébergées sur un autre serveur.
Enfin, il exfiltre les données en envoyant des requêtes POST à son serveur C2. Les URL utilisées par le malware sont construites à l’aide du jeton reçu dans la configuration.
Figure 6. Présentation des communications de Raccoon Stealer v2
Pour conclure, nous nous attendons à une résurgence de Raccoon Stealer v2, car les développeurs ont implémenté une version adaptée aux besoins des cybercriminels (efficacité, performances, capacités de vol, etc.) et ont adapté leurs serveurs backbone pour gérer grosses charges. En outre, les logiciels malveillants bénéficient de la popularité des acteurs de la menace acquise ces dernières années.
Nous pouvons évaluer avec une grande confiance que d’éventuelles futures mises à jour mettront en œuvre davantage de techniques d’anti-analyse pour éviter la détection par les antivirus.
MITRE ATT&CK TTPs
| Tactique | Technique | Description |
| Defense Evasion | T1140 – Désobscurcir/décoder des fichiers ou des informations | Raccoon Stealer v2 décode les chaînes et la configuration C2 dans le logiciel malveillant à l’aide de RC4 et base64. |
| Defense Evasion | T1027 – Fichiers ou informations obscurcis | Raccoon Stealer v2 utilise des chaînes cryptées RC4. |
| Accès | T1539 – Steal Web Session Cookie | Raccoon Stealer v2 récolte les cookies des navigateurs populaires. |
| Accès | aux informations d’identification T1555.003 – Informations d’identification des magasins de mots de passe : informations d’identification des navigateurs Web | Raccoon Stealer v2 collecte les mots de passe des navigateurs populaires. |
| Discovery | T1083 – Découverte de fichiers et de répertoires | Raccoon Stealer v2 répertorie les fichiers et les répertoires pour récupérer des fichiers sur tous les disques. |
| Discovery | T1057 – Process Discovery | Raccoon Stealer v2 répertorie les processus en cours d’exécution sur le système. |
| Discovery | T1012 – Query Registry | Raccoon Stealer v2 interroge la clé de registre Windows sur HKLM\SOFTWARE\Microsoft\Cryptography\MachineGuid pour récupérer la valeur MachineGuid. |
| Discovery | T1518 – Software Discovery | Raccoon Stealer v2 répertorie tous les logiciels installés pour la machine infectée, en interrogeant la clé de registre Windows sur HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\uninstall |
| Discovery | T1082 – System Information Discovery | Raccoon Stealer v2 collecte la version du système d’exploitation, l’architecture de l’hôte , les informations sur le processeur, la capacité de la RAM et les informations sur le périphérique d’affichage. |
| Découverte | T1614 – Découverte de l’heure du système | Raccoon Stealer v2 collecte les informations de fuseau horaire du système. |
| Collection | T1119 – Collection automatisée | Raccoon Stealer v2 analyse les disques et collecte automatiquement les fichiers. |
| Collecte | T1005 – Données du système local | Raccoon Stealer v2 collecte les informations d’identification des portefeuilles de crypto-monnaie du système local. |
| Collection | T1113 – Capture d’écran | Raccoon Stealer v2 capture une capture d’écran du bureau de la victime. |
| Commande et contrôle | T1071.001 – Protocole de couche application : Protocoles Web | Raccoon Stealer v2 utilise HTTP pour les communications C2. |
| Command and Control | T1041 – Exfiltration sur le canal C2 | Raccoon Stealer v2 exfiltre les données sur le canal C2. |
| Command and Control | T1105 – Ingress Tool Transfer | Raccoon Stealer v2 télécharge des DLL tierces légitimes pour la collecte de données sur des hôtes compromis. |
| Exécution | T1106 – L’API native | Raccoon Stealer v2 a la capacité de lancer des fichiers à l’aide de ShellExecuteW. |
| Defense Evasion | T1055.001 – Injection de processus : injection de bibliothèque de liens dynamiques | Raccoon Stealer v2 a la capacité de charger des DLL via LoadLibraryW et GetProcAddress. |
| Defense Evasion | T1407 – Télécharger le nouveau code au moment de l’exécution | Raccoon Stealer v2 télécharge sa prochaine étape à partir d’un hôte distant. |
IOC et détails techniques de raccoon stealer
Serveurs C2 de Raccoon Stealer v2
136.244.65[.]99
138.197.179[.]146
140.82.52[.]55
142.132.180[.]233
142.132.225[.]253
142.132.229[.]12
146.19.247[.]28
146.70.124[.]71
146.70.125[.]95
149.202.65[.]236
164.92.172[.]4
167.235.245[.]75
178.128.94[.]180
179.43.154[.]171
185.106.94[.]148
185.225.19[.]190
185.225.19[.]198
185.227.111[.]81
185.62.56[.]113
188.40.147[.]166
192.248.184[.]34
193.106.191[.]146
193.233.193[.]50
193.38.54[.]50
193.43.146[.]17
193.43.146[.]26
194.156.98[.]151
194.180.174[.]180
194.87.216[.]18
194.87.31[.]186
194.87.45[.]2
2.58.56[.]247
206.189.234[.]222
213.226.100[.]106
23.88.55[.]150
31.13.195[.]44
45.133.216[.]145
45.133.216[.]170
45.133.216[.]249
45.138.74[.]104
45.142.212[.]100
45.142.215[.]50
45.142.215[.]92
45.144.30[.]91
45.150.67[.]175
45.152.86[.]98
45.153.230[.]183
45.67.34[.]234
45.67.35[.]251
45.84.0[.]80
46.101.30[.]175
46.249.58[.]152
5.252.22[.]107
5.252.22[.]62
5.252.22[.]66
51.195.166[.]175
51.195.166[.]178
51.195.166[.]184
51.195.166[.]186
51.195.166[.]201
51.195.166[.]204
51.210.87[.]110
62.113.255[.]110
65.108.20[.]64
77.91.102[.]115
77.91.102[.]44
77.91.73[.]162
77.91.74[.]67
82.202.172[.]185
83.149.87[.]220
85.202.169[.]112
89.108.102[.]157
89.185.84[.]7
91.194.11[.]43
91.242.229[.]166
93.115.28[.]51
94.158.244[.]21
94.158.247[.]13
94.158.247[.]24
94.158.247[.]44
95.216.251[.]186
Raccoon Stealer v2’s SHA-256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 C2 de Raccoon Stealer hébergeant le panneau d’administration
- 45.61.136[.]191
- 45.92.156[.]53
- 45.92.156[.]52
- 89.39.106[.]64
- 109.236.82 [.]58
D’autres IoC sont disponibles sur le Github de la communauté SEKOIA.IO : https://github.com/SEKOIA-IO/Community/blob/main/IOCs/raccoonstealer/raccoon_stealer_iocs_20220628.csv
Références externes
1 Raccoon Stealer est de retour avec une nouvelle version, S2W, 16 juin 2022
2 Mars, un voleur d’informations brûlant, 7 avril 2022
Merci d’avoir lu cet article. Vous pouvez aussi lire notre enquête sur :