Cyberark alerte de la recrudescence du malware bancaire Raccoon. Ce dernier connait une popularité grandissante sur les forums underground. Il permet de voler des données bancaires et crypto monnaies en exploitant des failles de Chrome, Edge, Firefox… – plus de 35 navigateurs et 60 applications au total, incluant des clients mail. Les services de ce malware sont en location sur le dark net. 

Les chercheurs en sécurité de Cyberark alertent de la recrudescence de Raccoon aussi appelé Racealer. Ce malware découvert pour la première fois en 2019 est comme Cerberus un Malware as a Service (MaaS). Autrement dit un programme malveillant dont les utilisateurs louent les services avec un package complet, disponible dès 200 $ par mois. Et c'est d'ailleurs d'emblée l'une des raisons de le craindre : n'importe qui peut en effet l'utiliser moyennant paiement.

35 navigateur et 60 programmes touchés

Les pirates qui le maintiennent fournissent un espace d'hébergement protégé pour le serveur de contrôle, avec une interface intuitive. Mais aussi un support technique et des mises à jour régulières. A ce prix ce n'est pas l'option la moins chère pour des apprentis pirates, mais les chercheurs de Cyberark notent que c'est la plus simple et la plus complète. D'autant que ce malware bancaire est plus sophistiqué que les autres exemples détectés dans la nature. Raccoon peut en effet exploiter les failles de 35 navigateurs et 60 programmes au total, dont :

• Google Chrome
• Google Chrome (Chrome SxS)
• Chromium
• Xpom
• Comodo Dragon
• Amigo
• Orbitum
• Bromium
• Nichrome
• RockMelt
• 360Browser
• Vivaldi
• Opera
• Sputnik
• Kometa
• Uran
• QIP Surf
• Epic Privacy
• CocCoc
• CentBrowser
• 7Star
• Elements
• TorBro
• Suhba
• Safer Browser
• Mustang
• Superbird
• Chedot
• Torch
• Internet Explorer
• Microsoft Edge
• Firefox
• WaterFox
• SeaMonkey
• PaleMoon
• ThunderBird
• Outlook
• Foxmail

Le vecteur d'infection est principalement les campagnes de phishing et les exploit kits. Les mails malveillants contiennent généralement une pièce jointe, souvent un document office contenant une macro malicieuse. Une fois lancé le malware copie les fichiers contenant des données sensibles (principalement les accès aux portefeuilles de cryptomonnaie, cookies, historique et contenu autofill) dans un dossier temporaire, puis extrait et déchiffre les données avant de les envoyer au serveur dit “Control and command”.

Lire également : NordVPN – des faux sites propagent un dangereux malware bancaire

Les chercheurs indiquent que le malware peut facilement voler des crypto des portefeuilles suivants : Electrum, Ethereum, Exodus, Jaxx, Monero, et Bither. Le développement autour de Raccoon reste très actif. Si bien qu'il n'existe pas forcément de méthode efficace de se protéger, sauf à être particulièrement méfiant avec les mails dotés de pièces jointes. L'analyse complète du malware et de ses risques est disponible sur le site de Cyberark (en source).

Source : Cyberark