# Raccoon Stealer > Tipo: **infostealer MaaS** · S1148 · [MITRE ATT&CK](https://attack.mitre.org/software/S1148) ## Visão Geral [[s1148-raccoon-stealer|Raccoon Stealer]] e uma familia de malware infostealer ativa desde 2019, comercializada como Malware-as-a-Service (MaaS) em foruns clandestinos de lingua russa e inglesa por US$ 75/semana ou US$ 200/mes. O malware passou por dois períodos distintos de atividade: a versao original operou de 2019 a marco de 2022 (quando o desenvolvedor principal morreu na guerra na Ucrania), e uma versao completamente reescrita **v2 / RecordBreaker** foi lancada em junho de 2022. O FBI identificou mais de **50 milhões de credenciais únicas vazadas** por operadores do Raccoon Stealer. Em agosto de 2023, os operadores anunciaram o retorno após hiato de seis meses com a versao 2.3.0. O [[g1015-scattered-spider|Scattered Spider]] foi identificado como um dos grupos que usou o Raccoon em campanhas de engenharia social sofisticadas. Os logs coletados sao revendidos em marketplaces como Genesis Market (derrubado em 2023 pela Operação Cookie Monster) e Russian Market. **Plataformas:** Windows --- ## Como Funciona O Raccoon Stealer v2 executa em quatro fases: 1. **Infecção via software pirata ou drive-by:** O malware e entregue via sites de software crackeado ([[t1189-drive-by-compromise|T1189]]) ou por arquivos maliciosos ([[t1204-002-malicious-file|T1204.002]]). O binario pesa apenas 55 KB e usa criptografia RC4/XOR para strings e configuração de C2. 2. **Verificação de ambiente e fingerprinting:** Consulta o registro para obter `MachineGuid` ([[t1012-query-registry|T1012]]), verifica idioma e localização geografica ([[t1614-system-location-discovery|T1614]]) para filtrar vitimas por pais, enumera processos instalados e software de segurança. 3. **Coleta massiva automatizada:** Roba credenciais de navegadores (Chrome `Login Data`, Firefox `logins.json`) ([[t1555-003-credentials-from-web-browsers|T1555.003]]), carteiras de criptomoeda, tokens de sessao de Telegram, Discord e Steam, dados do sistema ([[t1005-data-from-local-system|T1005]]), tira screenshots ([[t1113-screen-capture|T1113]]) e coleta arquivos específicos do sistema ([[t1119-automated-collection|T1119]]). 4. **Exfiltração e venda de logs:** Os dados sao comprimidos em ZIP ([[t1560-archive-collected-data|T1560]]) e exfiltrados para proxies C2 via HTTP ([[t1071-001-web-protocols|T1071.001]]). Os operadores recebem os logs via Telegram e os revendem em marketplaces da dark web. A versao 2.1 adicionou coleta de dados do Signal Messenger e auto brute-force de carteiras cripto. A versao 2.3.0 introduziu sistema de bloqueio automatico de bots/rastreadores e estatisticas por pais. --- ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Software crackeado / Pirataria<br/>Drive-by compromise T1189"] --> B["Execução<br/>Usuario abre arquivo malicioso<br/>T1204.002"] B --> C["Fingerprinting<br/>MachineGUID + Idioma<br/>Localização geografica T1614"] C --> D["Coleta Massiva<br/>Credenciais browsers<br/>Carteiras cripto + Telegram"] D --> E["Compressao<br/>ZIP archive T1560<br/>Exfiltração via HTTP T1071.001"] E --> F["C2 via Proxy<br/>RC4 encrypted config<br/>Dados enviados em partes"] F --> G["Venda de Logs<br/>Russian Market / Genesis<br/>IABs e grupos ransomware"] classDef delivery fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef recon fill:#27ae60,color:#fff classDef collect fill:#3498db,color:#fff classDef exfil fill:#9b59b6,color:#fff classDef impact fill:#2c3e50,color:#fff class A delivery class B exploit class C recon class D,E collect class F exfil class G impact ``` --- ## Timeline ```mermaid timeline title Raccoon Stealer - Historico 2019 : Raccoon v1 surge em foruns russos (75 USD/semana) 2021 : FBI inicia monitoramento - 50 M+ credenciais vazadas Mar 2022 : Desenvolvedor principal morre na Ucrania - hiato Jun 2022 : Raccoon v2 (RecordBreaker) lancado - reescrito Fev 2023 : v2.1 com Signal Messenger e auto brute-force cripto Abr 2023 : Genesis Market derrubado - Operação Cookie Monster Ago 2023 : Raccoon v2.3.0 volta após hiato de 6 meses 2024 : Continua ativo com atualizacoes baseadas em feedback ``` --- ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1189-drive-by-compromise\|T1189]] | Drive-by Compromise (software crackeado) | | Execution | [[t1204-002-malicious-file\|T1204.002]] | Malicious File | | Defense Evasion | [[t1027-013-encryptedencoded-file\|T1027.013]] | Encrypted/Encoded File (RC4/XOR) | | Defense Evasion | [[t1027-007-dynamic-api-resolution\|T1027.007]] | Dynamic API Resolution | | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Credentials from Web Browsers | | Discovery | [[t1033-system-owneruser-discovery\|T1033]] | System Owner/User Discovery | | Discovery | [[t1012-query-registry\|T1012]] | Query Registry (MachineGuid) | | Discovery | [[t1614-system-location-discovery\|T1614]] | System Location Discovery | | Discovery | [[t1124-system-time-discovery\|T1124]] | System Time Discovery | | Collection | [[t1005-data-from-local-system\|T1005]] | Data from Local System | | Collection | [[t1119-automated-collection\|T1119]] | Automated Collection | | Collection | [[t1113-screen-capture\|T1113]] | Screen Capture | | Collection | [[t1560-archive-collected-data\|T1560]] | Archive Collected Data (ZIP) | | Collection | [[t1213-data-from-information-repositories\|T1213]] | Data from Information Repositories | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Web Protocols (HTTP) | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Ingress Tool Transfer (DLLs) | | Exfiltration | [[t1020-automated-exfiltration\|T1020]] | Automated Exfiltration | --- ## Relevância LATAM O Raccoon Stealer tem **presenca significativa no Brasil**, com logs de infeccoes brasileiras frequentemente listados em marketplaces de credenciais da dark web. A capacidade de verificar idioma e localização geografica ([[t1614-system-location-discovery|T1614]]) permite que operadores filtrem e priorizem vitimas brasileiras para revenda ou acesso direto a sistemas corporativos. O modelo de negocio baseado em logs cria um ecossistema de risco especialmente perigoso para o Brasil: credenciais de internet banking, sistemas corporativos de ERP (SAP, TOTVS), VPNs e plataformas de e-commerce brasileiras sao itens de alto valor no Russian Market. O CERT.br e a FEBRABAN monitoram ativamente campanhas de stealers com impacto no sistema financeiro nacional. A versao 2.3.0 de 2023, com suporte a Signal Messenger e auto brute-force de carteiras cripto, amplifica o risco para usuarios brasileiros que adotaram carteiras de Bitcoin e Ethereum. O uso massivo de software pirata no Brasil - um vetor primario de distribuição do Raccoon - mantem a taxa de infecção elevada. **Setores impactados:** [[financial|financeiro]] · [[technology|tecnologia]] · [[government|governo]] · [[manufacturing|industria]] --- ## Detecção - **Browser Database Access** - Monitorar processos externos acessando arquivos `Login Data` (Chrome) e `logins.json` (Firefox) fora dos proprios navegadores. - **Suspicious ZIP in Temp** - Alertar para criação de arquivos ZIP em `%TEMP%` ou `%APPDATA%` por processos nao reconhecidos, especialmente seguida de conexoes de rede. - **Anomalous HTTP User-Agent** - O Raccoon v2 usa User-Agents incomuns (`record`, `rc2.0/client`, `rqwrwqrqwrqw`, `TakeMyPainBack`) em requisicoes POST para IPs externos. - **Telegram Desktop Data Access** - Detectar acesso ao diretorio `Telegram Desktop\tdata` por processos que nao sejam o proprio Telegram. --- ## Referências - [1](https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-raccoon-stealer-v2-part-2) eSentire TRU - Raccoon Stealer v2 Deep Analysis - [2](https://www.darktrace.com/blog/the-resurgence-of-the-raccoon-steps-of-a-raccoon-stealer-v2-infection-part-2) Darktrace - Raccoon v2 Network Patterns - [3](https://www.zscaler.com/blogs/security-research/raccoon-stealer-v2-latest-generation-raccoon-family) Zscaler ThreatLabz - Raccoon v2 Technical Analysis - [4](https://rhisac.org/threat-intelligence/raccoon-stealer-returns-from-hiatus-with-updated-version/) RH-ISAC - Raccoon v2.3.0 Return - [5](https://attack.mitre.org/software/S1148) MITRE ATT&CK - S1148 Raccoon Stealer