# Raccoon Stealer > [!high] Infostealer MaaS com Milhões de Credenciais Roubadas > Raccoon Stealer é um infostealer operado como Malware-as-a-Service (MaaS) ativo desde 2019 que roubou credenciais de milhões de usuários globalmente. Em 2022 foi objeto de operação do FBI com a prisão do operador ucraniano Mark Sokolovsky. Uma versão 2.0 (RecordBreaker) reapareceu em 2022. ## Visão Geral O Raccoon Stealer é um infostealer para Windows operado como MaaS (Malware-as-a-Service), ativo desde 2019 e um dos mais prolíficos da era. O malware foi anunciado em fóruns underground russos e ganhou popularidade por sua interface de gerenciamento simples (painel web Telegram-like), baixo preço (US$ 75/semana) e capacidade abrangente de roubo de credenciais. O Raccoon Stealer rouba credenciais salvas em navegadores Chromium e Firefox, cookies de sessão, dados de preenchimento automático, números de cartão de crédito, arquivos de carteiras de criptomoedas e captura screenshots. Os dados coletados são enviados a um painel web C2 de onde os operadores podem filtrar e usar as credenciais. Em março de 2022, o principal operador do Raccoon Stealer — Mark Sokolovsky, cidadão ucraniano — foi preso nos Países Baixos e extraditado para os EUA. O FBI estimou que o malware comprometeu mais de 50 milhões de credenciais únicas. Poucos meses depois, uma versão 2.0 (denominada RecordBreaker) reapareceu em fóruns underground, sugerindo que outros operadores continuaram o desenvolvimento. > [!latam] Relevância para o Brasil e LATAM > O Brasil é um dos maiores mercados de internet da América Latina, com alto volume de usuários de serviços bancários online e e-commerce. O Raccoon Stealer, distribuído globalmente via [[privateloader|PrivateLoader]] e malvertising, atinge usuários brasileiros de forma indiscriminada. Credenciais de acesso a sistemas corporativos, e-banking e exchanges de criptomoedas roubadas pelo Raccoon podem ser vendidas em mercados underground para uso em ataques direcionados ao [[financial|setor financeiro]] brasileiro. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de credenciais de Chrome, Firefox, Edge | | Collection | [[t1005-data-from-local-system\|T1005]] | Arquivos de carteiras de criptomoedas e documentos | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração via HTTP ao painel C2 | | Discovery | [[t1082-system-information-discovery\|T1082]] | Perfil do sistema comprometido antes da exfiltração | ## Detecção - Monitorar acesso ao arquivo `Login Data` do Chrome por processos externos ao navegador - Detectar requisições HTTP POST com conteúdo ZIP para endpoints externos por processos suspeitos - Usar regras YARA para strings características do Raccoon Stealer v1 e v2 - Monitorar credenciais da organização em feeds de breach data (Have I Been Pwned, etc.) ## Referências - [FBI - Raccoon Stealer Takedown (2022)](https://www.ic3.gov/Media/Y2022/PSA221025) - [Sekoia - Raccoon Stealer v2 Analysis (2022)](https://blog.sekoia.io/raccoon-stealer-v2-part-1-the-return-of-the-dead/) - [Group-IB - Raccoon Stealer MaaS Analysis](https://www.group-ib.com/blog/raccoon/)