El ladrón de información RecordBreaker, también conocido como Raccoon Stealer V2, se ha observado en una nueva campaña de ataque dirigida.
El malware, que a menudo se distribuye disfrazado de descarga de programas ilegales como cracks y keygen, esta vez estaba oculto dentro de certificados falsos de una empresa de software coreana.
Los investigadores de ASEC se encontraron con la nueva campaña mientras investigaban diferentes versiones falsas de información y certificados que imitaban software famoso.
Los investigadores descubrieron seis muestras de certificados falsos e información de la empresa entre el 27 de abril y el 1 de mayo. Estas muestras fueron distribuidas en forma de archivo ‘PassKey_55551-CompleteFileT1.rar’ por un sitio web.
Este archivo comprimido incluía un archivo ‘Read.me.txt’ junto con un archivo protegido con contraseña, ‘FullSetup.rar’, que provocó la descarga del malware. Una vez que se ejecuta RecordBreaker Stealer, la información confidencial guardada en la PC de los usuarios se recopila y se envía a un servidor C2 controlado por atacantes.
Durante el período mencionado, el servidor C2 instala el malware ClipBanker en el sistema infectado.
Puede reemplazar la dirección de la billetera de criptomonedas en el portapapeles con la del actor de amenazas.
Si bien el malware en sí tiene un tamaño real pequeño, los delincuentes lo han inflado al insertar datos extraños.
Casos de distribución anteriores
RecordBreaker Stealer saltó a la fama en junio de 2022 después de que los operadores de Raccoon Stealer se vieran obligados a cerrar sus operaciones tras la muerte de un desarrollador líder en la guerra entre Rusia y Ucrania. Desde entonces, el malware se ha detectado en diferentes instancias en el pasado.
En dos incidentes, se aprovecharon cuentas de YouTube pirateadas para distribuir el malware. Estos canales de YouTube pirateados fueron comprometidos para atraer a los usuarios con enlaces falsos que simulaban ser cracks, keygen seriales e instaladores de software comercial.
La popularidad de las herramientas de usuario final basadas en IA está aumentando. Desafortunadamente, también ha atraído a ciberdelincuentes que usan varios trucos de ingeniería social para atacara a sus víctimas.