Cybersicurezza, Swascan: viaggio nella mente di un infostealer
Svelati i segreti di Raccoon
Ago 30, 2023
Roma, 30 ago. – Il team SOC di Swascan (Gruppo Tinexta) è penetrato all’interno di Raccoon (https://www.swascan.com/it/viaggio-nella-tana-di-raccoon/), uno dei malware infostealer più diffusi ed efficienti in circolazione, mostrando come chiunque, pagando una modica cifra iniziale e senza possedere particolari abilità informatiche, possa ottenere l’accesso a un programma capace di raccogliere ed estrapolare ogni tipo di informazioni sul terminale in cui è installato e sul suo utente, sia a fini spionistici che criminali.
Grazie ad attività di cyberintelligence e di investigazione, i tecnici di Swascan hanno ricostruito le attività e il funzionamento di Raccoon. Il malware, una volta acquistato, deve essere eseguito sul dispositivo che si intende compromettere e ciò può avvenire in diversi modi: il più semplice è sicuramente tramite il phishing, dove vengono utilizzate mail o siti ingannevoli che inducono l’utente a scaricare file apparentemente innocui e affidabili, ma che in realtà nascondono al loro interno il programma malevolo. Una volta installato, Raccoon inizia a registrare e archiviare localmente ogni informazione possibile: dai dati di login a quelli delle carte di credito, dai portafogli di criptovalute alla navigazione web fino a ogni tipo di chat su qualsiasi servizio di messaggistica utilizzato sul dispositivo.
I metodi comunemente utilizzati da Raccoon per la raccolta delle informazioni sono: il keylogging, che registra tutte le attività della tastiera memorizzando qualunque parola venga digitata; lo screen capturing, che registra le schermate o gli screenshot del dispositivo con tutti i dati sensibili visualizzati sullo schermo; il credential stealing, che ruba i dati di accesso memorizzati nei browser o in applicazioni salvate sul dispositivo; e il memory scraping, che recupera i dati sensibili dai processi in esecuzione nella memoria del sistema.
Il malware invia poi periodicamente queste informazioni a un server di Comando e Controllo, collegato a sua volta a un server principale per venir poi classificate e indicizzate all’interno del portale raccoon.biz, dove diventano facilmente ricercabili e consultabili.
Questi server sono in gran parte localizzati nell’area ex sovietica, come verificato da Swascan tramite la propria piattaforma di Cyber Threat Intelligence che ha individuato diversi post all’interno di forum russi creati dall’utente “raccoonstealer” riguardanti il dominio “raccoon.biz”. Lo stesso fondatore di Raccoon, inoltre, è l’ucraino Mark Sokolvsky, arrestato nel marzo del 2022 in Olanda con una richiesta di estradizione da parte degli USA che lo accusano di aver infettato oltre 2 milioni di dispositivi nel mondo.
L’integrazione diretta con Telegram rende ancora più immediata la consultazione dei dati trafugati, automaticamente ricevuti via chat senza bisogno di connettersi al portale.
“Il report – commenta il CEO di Swascan e autore del libro “Cyber e Potere” edito quest’anno da Mondadori – mette in luce l’insidiosa e crescente minaccia che strumenti come Raccoon, rappresentano per l’identità digitale di individui e imprese. Il mercato delle credenziali sottratte illegalmente è in forte ascesa, a riprova di quanto valore abbiano le nostre identità digitali negli ecosistemi del cybercrime, dove possono rapidamente essere monetizzati in molteplici modi, e della geopolitica, dove costituiscono uno strumento di cyberspionaggio a disposizione di chiunque. Il commercio delle identità digitali non è solo un campanello d’allarme per la sicurezza informatica, ma segnala infatti un’evoluzione verso la Guerra Cognitiva, in cui l’informazione e la conoscenza sono utilizzate come armi. Per le imprese, i governi e gli stati, questi attacchi rappresentano non solo un rischio per la sicurezza dei dati sensibili, ma possono erodere la fiducia dei cittadini e influenzare gravemente la reputazione e la sovranità. La sfumatura tra cybercrime e cyberwar diventa sempre più sottile, rendendo cruciale non solo l’educazione e l’investimento in soluzioni di sicurezza, ma anche una profonda riflessione da parte degli stati sul modello e sul governo della sfera cyber”.
