30/07/25
Эта программа для кражи информации появилась в июле 2025 года и уже распространилась через Telegram и GitHub, вызвав интерес не только из-за своей функциональности, но и благодаря сочетанию скрытности, лёгкости использования и эффективного способа доставки украденных данных.
Сейчас Raven активно обсуждается в среде аналитиков угроз, поскольку демонстрирует, как простыми средствами можно обойти антивирусы и встроенные механизмы защиты браузеров, пишет Securitylab.
Raven Stealer разработан на Delphi и C++ и ориентирован на Windows-системы. Он собирает логины, платёжные данные и автозаполнения из Chromium-браузеров, включая Chrome и Edge. Вредонос распространяется через Telegram-канал ZeroTrace под видом «учебного инструмента» и позволяет даже неопытным пользователям запускать кражу данных с помощью встроенного генератора сборок. Telegram используется и как канал для передачи похищенной информации, что исключает необходимость в классическом C2-сервере.
Сборки упакованы через UPX, чтобы затруднить анализ и избежать обнаружения. После запуска вредонос внедряет зашифрованный модуль в процессы браузеров с помощью системных вызовов вроде NtWriteVirtualMemory, что позволяет обойти файловую систему. Пароли, куки и платёжные данные извлекаются в памяти, минуя защиту App-Bound Encryption.
Дополнительно Raven сканирует систему на наличие криптокошельков, VPN и игр, а все данные сохраняет в ZIP-архив с именем пользователя. Передача происходит через «curl.exe», который использует Telegram API для загрузки файлов, включая скриншоты и текстовые списки с конфиденциальной информацией.
Методы, реализованные в Raven, соответствуют ряду техник из MITRE ATT&CK: обфускация, скрытые окна, сбор информации из каталогов и использование Telegram как командного канала. Такая архитектура делает инструмент мощным и незаметным.
Команда ZeroTrace поддерживает проект с конца апреля 2025 года, размещая обновления и исходники на GitHub и Telegram. Вредонос уже сравнивают с другим их продуктом — Octalyn Stealer, что указывает на систематическую стратегию распространения простых, но эффективных инфостилеров.
В качестве мер защиты специалисты советуют отслеживать UPX-упакованные файлы, нестандартные флаги запуска браузеров, вызовы curl и обращение к Telegram API, а также применять поведенческий анализ и мониторинг системных вызовов.
