- El documento está disponible en la parte privada del portal del CCN-CERT.
- El informe ‘CCN-CERT ID-25/19’ recoge el análisis del documento de Word identificado por la firma MD5 bbea066160cdad85d59d474078ba235f, así como del fichero adicional que la macro tratará de descargar y ejecutar en los sistemas afectados.
- Detalles generales, proceso de infección, persistencia, desinfección, indicadores de compromiso y la regla de detección YARA Raccoon son los principales puntos que incluye el documento.
El CERT del Centro Criptológico Nacional (CCN-CERT) ha publicado un nuevo informe de código dañino en la parte privada de su portal. Se trata del Informe CCN-CERT ID-25/19 “Raccoon stealer”, documento que recoge el análisis del documento de Word identificado por la firma MD5 bbea066160cdad85d59d474078ba235f, así como del fichero adicional que la macro tratará de descargar y ejecutar en los sistemas afectados.
El documento de Word procede de la pasada campaña de phishing del 8 de noviembre de 2019, en la que, suplantando a un Organismo público, se trataba de instar a los usuarios a descargar el archivo objeto de análisis y a habilitar sus macros a través de ingeniería social. La macro del documento descarga un ejecutable que trata de lanzarse en el equipo. En el análisis recogido en este informe se muestra que se trata del infostealer Raccoon.
Mientras que el objetivo de las macros es únicamente descargar y ejecutar un binario de forma transparente al usuario, el del ejecutable infostealer de la familia Raccoon es recolectar información sensible del equipo y usuario afectado, como detalles del sistema operativo, usuarios, contraseñas, cookies e incluso tarjetas de crédito.
En este informe se incluye información de interés acerca de este stealer, como el proceso de infección, métodos de persistencia, los pasos a seguir para la desinfección del equipo, indicadores de compromiso y la regla de detección YARA Raccoon.
CCN-CERT (19/11/2019)
Informe CCN-CERT ID-25/19 “Raccoon stealer”
