Racoon Stealer est une forme relativement nouvelle de malware qui a été détecté pour la première fois en avril 2019. Le malware n’est pas sophistiqué, car il n’intègre aucune fonctionnalité jamais vue auparavant. Bref, il n’a rien d’extraordinaire.
Ce malware peut prendre des captures d’écran, collecter des informations sur le système, surveiller les e-mails et voler des informations de navigateurs, comme les mots de passe, les identifiants bancaires en ligne et les numéros de carte de crédit.
Cependant, le malware est efficace et très populaire. Au cours des six derniers mois, Racoon Stealer a été installé sur des centaines de milliers d’appareils Windows et il est maintenant l’une des variantes de malwares les plus connues sur les forums underground.
Ce qui distingue Racoon Stealer, c’est qu’il utilise une campagne de marketing très agressive visant à recruter le plus grand nombre d’affiliés possible. Il est commercialisé en tant que malware-as-a-service (MaaS) sur les forums underground et les affiliés peuvent s’inscrire pour utiliser le malware pour un montant forfaitaire d’environ 180 euros par mois.
Le malware peut être utilisé pour voler toute une série d’informations sensibles comme les mots de passe, les numéros de carte de crédit et les cryptomonnaies. Dans ce modèle de distribution, les affiliés n’ont pas besoin de développer leurs propres malwares, et ils n’ont besoin que de peu de compétences pour commencer à mener des campagnes malveillantes. Les développeurs du malware fournissent également un hébergement à toute épreuve et sont disponibles pour offrir aux affiliés un support 24h/24, 7j/7 et 365j/an. De plus, le pack est livré avec un système back-end (arrière-plan) facile à utiliser.
Bien que le coût soit certainement élevé par rapport à ceux des autres offres de MaaS et de ransomware-as-a-service, les affiliés sont susceptibles de gagner bien plus grâce aux informations qu’ils peuvent voler. Voici pourquoi les acheteurs de ce malware sont de plus en plus nombreux.
Comment le malware Racoon Stealer est-il distribué ?
Les affiliés distribuent Racoon Stealer par le biais d’e-mails de phishing contenant des fichiers Office et PDF incorporant le code qui télécharge la charge utile. Il est intégré à des logiciels sur des sites web tiers, bien qu’un pourcentage important des infections provienne de kits d’exploitation.
Racoon Stealer est ajouté aux kits d’exploitation Fallout et Rig qui sont chargés sur des sites Web compromis et des domaines appartenant à des pirates informatiques. Le trafic est envoyé vers ces sites via des publicités malveillantes sur des réseaux publicitaires tiers (malvertising).
Lorsqu’un utilisateur atterrit sur une page Web hébergeant un kit d’exploitation, son appareil est testé pour détecter les vulnérabilités. Si une vulnérabilité est trouvée, elle est exploitée et le Racoon Stealer est téléchargé à l’insu de l’utilisateur.
Une fois installé, Racoon Stealer se connecte à son serveur C2. Les ressources nécessaires pour commencer à voler des informations sont ainsi obtenues et peuvent être vendues sur le marché du darknet ou utilisées par les affiliés pour mener leurs propres attaques.
Compte tenu de l’énorme potentiel de profit qu’ils peuvent réaliser, il n’est pas surprenant que les développeurs de malwares optent aujourd’hui pour ce genre d’attaque. Le problème risque de s’aggraver avant qu’il ne s’améliore et la menace que représentent ces offres de MaaS demeure importante.
Comment bloquer Racoon Stealer et d’autres menaces par e-mail et sur le web ?
Heureusement, il existe des mesures que les entreprises peuvent prendre pour améliorer leurs défenses contre les campagnes de MaaS.
Les kits d’exploitation intègrent généralement des exploits pour un petit nombre de vulnérabilités connues plutôt que pour des vulnérabilités du type zéro-day pour lesquelles aucun correctif n’a été publié. Pour bloquer ces attaques par kit d’exploitation, les entreprises doivent appliquer des correctifs et mettre à jour leurs logiciels rapidement.
Il n’est pas toujours possible pour les entreprises d’appliquer les correctifs rapidement, car des tests approfondis peuvent être nécessaires avant que les correctifs puissent être appliqués. Certains périphériques peuvent être ignorés – accidentellement ou délibérément – en raison de problèmes de compatibilité. Ces dispositifs resteront donc vulnérables aux attaques.
Le patch est important, mais il n’empêchera pas les téléchargements de malwares à partir d’Internet qui n’impliquent pas de kits d’exploitation. Ce qu’il faut donc, c’est une solution de sécurité Web qui peut bloquer l’accès aux sites malveillants et empêcher le téléchargement de fichiers à risque.
Une solution de filtrage DNS telle que WebTitan fournit une couche de sécurité supplémentaire pour bloquer ces menaces Web. Grâce à une combinaison de listes noires, de contrôle du contenu et d’analyse des sites Web pour rechercher du contenu malveillant, les entreprises peuvent se protéger contre les attaques sur le web. Un filtre DNS empêchera également les employés de visiter les sites de phishing.
Le blocage des attaques qui se produisent par la messagerie électronique nécessite de solutions de sécurité solides. Un filtre anti-spam avancé tel que SpamTitan peut empêcher les e-mails malveillants et les pièces jointes d’atteindre les boîtes de réception des utilisateurs finaux. SpamTitan analyse tous les e-mails entrants pour rechercher les malwares à l’aide de deux moteurs antivirus. Il est également efficace pour bloquer les menaces du type zero-day. Enfin, sachez que SpamTitan inclut un bac à sable alimenté par Bitdefender, où les pièces jointes suspectes sont soumises à une analyse approfondie pour identifier toute intention potentiellement malveillante.
Avec ces deux solutions en place, les entreprises seront bien protégées contre les menaces de malwares et les attaques de phishing.