В мире киберпреступности продолжает набирать обороты новый инструмент для кражи конфиденциальных данных - вредоносная программа Raven Stealer. Разработанная на языках Delphi и C++, она представляет собой компактное, но мощное средство для автоматического сбора информации с зараженных компьютеров без ведома пользователей.
Описание
Особенностью Raven Stealer является его интеграция с платформой Telegram, что позволяет злоумышленникам получать украденные данные в режиме реального времени. Программа активно распространяется через GitHub и продвигается через Telegram-канал ZeroTrace, где разработчики публикуют обновления, инструкции по использованию и примеры успешных атак.
Как работает Raven Stealer?
Программа настроена на автоматическое извлечение паролей, данных автозаполнения, платежных реквизитов и файлов cookie из популярных браузеров на базе Chromium, включая Google Chrome и Microsoft Edge. Кроме того, она способна собирать информацию из криптовалютных кошельков, VPN-клиентов и игровых сервисов, что делает ее особенно опасной для пользователей, хранящих в браузерах конфиденциальные данные.
Уникальность Raven Stealer заключается в его скрытности. Программа не оставляет видимых признаков работы: окна не отображаются, процессы маскируются под легитимные. Для этого используется техника рефлексивного инжектирования, когда вредоносный код загружается напрямую в память браузера, минуя запись на диск и избегая срабатывания антивирусных защит.
Telegram как инструмент управления
Одним из ключевых элементов Raven Stealer является использование Telegram API для выгрузки похищенных данных. Атакующие настраивают бота, встраивают его токен и идентификатор чата в код программы, и после сбора информации она автоматически отправляется в указанный канал. Это значительно упрощает процесс управления вредоносной кампанией и минимизирует необходимость в традиционных серверах командования и управления (C2).
Распространение и связь с другими угрозами
Анализ исходного кода и метаданных указывает на то, что за разработкой Raven Stealer стоит группа ZeroTrace Team, которая также продвигает другой схожий троян - Octalyn Stealer. Это говорит о формировании целого портфеля вредоносных программ, направленных на разные сегменты пользователей. GitHub остается одной из ключевых площадок для распространения зловреда, хотя код может удаляться после обнаружения.
Последствия заражения
После успешного внедрения в систему, Raven Stealer формирует структурированный архив с украденной информацией, включая логины, пароли, cookies и даже скриншоты экрана. Все это упаковывается в ZIP-архив с именем пользователя в названии, что помогает злоумышленникам удобно сортировать данные жертв.
Выводы
Raven Stealer представляет собой серьезную угрозу, особенно учитывая его доступность для малоопытных злоумышленников. Сочетание скрытности, автоматизации и удобства управления через Telegram делает его привлекательным инструментом в руках киберпреступников. Пользователям следует быть особенно внимательными при скачивании файлов из непроверенных источников и следить за подозрительной активностью в системе. В то же время антивирусные компании уже начали адаптировать методы детектирования этой угрозы, но учитывая ее активное развитие, борьба с Raven Stealer может потребовать постоянного обновления защитных механизмов.
На данный момент угроза остается актуальной, а ее распространение продолжается, что требует повышенного внимания со стороны как обычных пользователей, так и специалистов по кибербезопасности.
Индикаторы компрометации
SHA256
- 252fb240726d9590e55402cebbb19417b9085f08fc24c3846fc4d088e79c9da9
- 28d6fbbdb99e6aa51769bde016c61228ca1a3d8c8340299e6c78a1e004209e55
- 2e0b41913cac0828faeba29aebbf9e1b36f24e975cc7d8fa7f49212e867a3b38
