Observatorio de Amenazas

Raccon Agent, un malware de espionaje sofisticado

Escrito por Javiera González | 05-02-24

Se ha detectado un malware de espionaje sofisticado llamado "Raccon Agent" (Agente Mapache) que se está utilizando en ciberataques, principalmente contra organizaciones en los Estados Unidos, Oriente Medio y Africa, este aprovecha el protocolo DNS para sus ataques.

Raccon Agent

El Agente Mapache es un malware .NET disfrazado de Google Update o Microsoft OneDrive Updater que aprovecha el protocolo DNS (Servicio de Nombres de Dominio) para establecer un canal de comunicación encubierto con la infraestructura C2 (comando y control) de los atacantes.

La puerta trasera construye consultas con subdominios codificados por Punycode para la evasión, mientras que también incluye valores aleatorios para hacer que las comunicaciones sean más difíciles de rastrear.

El malware es capaz de ejecutar comandos remotos, cargar y descargar archivos, y proporcionar acceso remoto al sistema infectado.

La primera muestra de Racoon Agent se cargó en julio de 2022.

Objetivos del ataque

Se cree que los atacantes son actores de amenaza que se dirigen a organizaciones en varios sectores, incluidos el gobierno, las telecomunicaciones, la educación, los bienes raíces, el comercio minorista y las organizaciones sin fines de lucro. Las plataformas objetivo del ataque son las asociadas a Windows, a través de ataques de phishing y explotación de vulnerabilidades.

El proceso de exfiltración de correo electrónico observado involucró criterios de búsqueda distintos para cada bandeja de entrada. Esto indica que los atacantes están interesados en recopilar datos específicos de cada víctima.

Herramientas adicionales

  • Mimilite: una versión personalizada de la utilidad de vertido de credenciales de Mimikats que los atacantes utilizan para robar credenciales de usuario.
  • Ntospy: un ladrón de credenciales de DLL que imita el módulo del proveedor de red de Windows para secuestrar el proceso de autenticación y capturar las credenciales de usuario.
  • Complementos de PowerShell: utilizados por los atacantes para robar correos electrónicos de los servidores de Microsoft Exchange o carpetas del perfil de itineraria de las víctimas.

 

Recomendaciones:

Para protegerse de este tipo de ataques debe considerar mantener los sistemas operativos y las aplicaciones actualizadas con los últimos parches de seguridad, utilizar un firewall para bloquear el tráfico sospechoso e implementar soluciones de detección y respuesta a incidentes (SIEM) para detectar y responder rápidamente a los ataques.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos como lo es la ingeniería social y/o el phishing, a través de la implementación de programas online de concientización y capacitación. Con el fin que tener colaboradores conscientes de su rol en la seguridad que operen bajo una conducta que aporte a la ciberdefensa.

Adicionalmente, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.

 

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

      • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
      • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
      • Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

 

Asegura tu negocio de las amenazas cibernéticas

CONOCE NUESTROS SERVICIOS ADMINISTRADOS AQUÍ


Fuentes

https://www.bleepingcomputer.com/news/security/hackers-use-new-agent-raccoon-malware-to-backdoor-us-targets/

https://thehackernews.com/2023/12/agent-racoon-backdoor-targets.html