Nace Raven Stealer, el malware que se propaga por Telegram y se dirige a Windows
Analistas de seguridad han descubierto el malware Raven Stealer, capaz de robar contraseñas, cookies, datos de VPN, apps de mensajería y servicios de juegos.
Raven Stealer es uno de los malware más peligrosos y sigilosos que se han visto hasta el momento, según el análisis estático y dinámico llevado a cabo por Cyfirma, un grupo especializado en informes forenses de ciberseguridad.
Tal y como explica la compañía en su análisis, se propaga mediante la integración de un bot de Telegram, aunque también tiene presencia en GitHub, al menos desde el 15 de julio de este mismo año, con relación directa con el equipo de cibercriminales conocido como ZeroTrace Team.
Gracias al descubrimiento de un archivo denominado RavenStealer.cpp, los analistas de seguridad han logrado identificar la autoría de este grupo de atacantes, incluyendo también el nombre y la dirección de correo de Hotmail, lo que sugiere un intento deliberado de ganar visibilidad.
El canal de Telegram de este grupo de cibercriminales fue creado el 30 de abril de este año, con la promoción de una herramienta de criptografía a la que se bautizó como ZeroTrace; desde entonces, se han compartido en el canal diferentes herramientas de código abierto para el robo de datos.
En el caso concreto de Raven Stealer, el análisis estático y dinámico ha descubierto que el malware está dirigido a usuarios de Windows y, más concretamente, a quienes usen navegadores basados en Chromium, como Edge, Brave o Google Chrome.
La técnica usada es bastante compleja, ya que se ha escrito en Delphi y C++, y no en Python, lo que permite al malware ejecutarse de forma silenciosa y exfiltrar datos en tiempo real a través de Telegram.
De esta forma, Raven Stealer es capaz de esconder la ventana de la PowerShell de Windows, a la par que ejecuta comandos y elimina el acceso a la barra de tareas, así como al atajo de teclado Alt+Tab, con el objetivo de evitar ser identificado.
A partir de aquí, esquiva el contexto de seguridad del navegador basado en Chromium y es capaz de robar datos realmente sensibles del mismo, como contraseñas, cookies, información de pago, sin la necesidad de realizar cambios en el disco que alerten de su presencia.
El equipo de seguridad de Cyfirma también ha descubierto en su análisis que el malware permite recopilar datos de fuentes tan diversas como carteras de criptomonedas, plataformas de juegos, clientes de VPN y servicios de mensajería instantánea, almacenando los datos en el directorio AppData del usuario.
Para camuflarse aún más en el sistema de la máquina infectada, comprime todos los datos en un archivo ZIP almacenado en los directorios temporales del sistema, para a continuación exfiltrar los datos robados mediante la API de Telegram.
Tal y como detalla el equipo de análisis, este malware mantiene un diseño modular y ha sido empacado mediante UPX, un software gratuito y de código abierto que permite comprimir archivos ejecutables.
Además de Raven Stealer, el grupo de cibercriminales también cuentan con otro malware denominado Octalyn Stealer, con una estructura muy similar a la del primero, también compartido mediante Telegram.
En conclusión, se cree que ZeroTrace continúa activo y se identifica al grupo como una amenaza persistente, por supuesto, con la posibilidad de que existan otras herramientas de exfiltración de datos aún no conocidas.