Nueva campaña asociada a Raccoon Stealer
- Publicado: 28/11/2019
- Importancia: Media
- Recursos afectados
Raccoon Stealer es distribuido por archivos adjuntos directos o por medio de enlaces. Para la campaña actual se utilizó una cuenta de correo electrónico que estaba potencialmente comprometida, con el fin de no ser identificado como spam. Este correo electrónico logró burlar las tecnologías de análisis de Symantec Email Security, así como las puertas de enlace de EOP de Microsoft, evitando que la URL que contiene la descarga útil de Raccoon Stealer sea eliminada antes de llegar a las bandejas de entrada de los usuarios.
Una vez descargado y ejecutado el archivo malicioso, inicia la infección del equipo donde se ha descargado, posteriormente realiza la comunicación con el C2 [Comando y Control] a través de HTTP, el cual retorna un objeto JSON que incluye datos para la carga de bibliotecas [DLL] y archivos adicionales necesarios para su ejecución total.Este es un breve resumen por el equipo del CSIRT, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero y contáctenos a través del correo [email protected]
- Etiquetas