Redazione RHC : 30 julio 2025 10:51
En medio de la creciente actividad de campañas maliciosas que utilizan canales de comunicación legítimos para evadir las defensas tradicionales, una nueva herramienta ha llamado la atención de los especialistas en ciberseguridad: Raven Stealer. Este programa de robo de información apareció en julio de 2025 y ya se ha propagado a través de Telegram y GitHub, llamando la atención no solo por su funcionalidad, sino también por su combinación de sigilo, facilidad de uso y eficacia en la entrega de datos robados.
Raven es actualmente objeto de acalorado debate entre los analistas de amenazas, ya que demuestra cómo se pueden evadir los antivirus y los mecanismos de protección integrados en el navegador con métodos sencillos. Raven Stealer está desarrollado en Delphi y C++ y está dirigido a sistemas Windows. Recopila datos de inicio de sesión, detalles de pago y autocompletado de navegadores Chromium, incluyendo Chrome y Edge. El malware se distribuye a través del canal de Telegram de ZeroTrace como herramienta de entrenamiento y permite incluso a usuarios sin experiencia iniciar ataques de robo de datos utilizando el generador de compilaciones integrado. Telegram también se utiliza como canal para transmitir información robada, eliminando la necesidad de un servidor C2 tradicional.
Los ensamblados se comprimen mediante UPX para dificultar el análisis y evitar su detección. Una vez ejecutado, el malware inyecta un módulo cifrado en los procesos del navegador mediante llamadas al sistema como NtWriteVirtualMemory, lo que le permite eludir el sistema de archivos. Las contraseñas, las cookies y los datos de pago se extraen a la memoria, evadiendo la protección de cifrado de la aplicación.
Además, Raven escanea el sistema en busca de monederos de criptomonedas, VPN y juegos, y guarda todos los datos en un archivo ZIP con el nombre de usuario. La transferencia se realiza mediante curl.exe, que utiliza la API de Telegram para descargar archivos, incluyendo capturas de pantalla y listas de texto con información confidencial. Los métodos implementados en Raven corresponden a varias técnicas de MITRE ATT&CK: ofuscación, ventanas ocultas, recolección de directorios y el uso de Telegram como canal de comandos. Esta arquitectura hace que la herramienta sea potente y sigilosa.
El equipo de ZeroTrace ha apoyado el proyecto desde finales de abril de 2025, publicando actualizaciones y el código fuente en GitHub y Telegram. El malware ya se ha comparado con otro de sus productos, Octalyn Stealer, lo que demuestra una estrategia sistemática para distribuir ladrones de información simples pero efectivos. Como medidas de protección, los expertos recomiendan monitorear archivos comprimidos UPX, indicadores de inicio de navegadores no estándar, llamadas curl y el acceso a la API de Telegram, así como usar análisis de comportamiento y monitoreo de llamadas del sistema.
Raven Stealer es una prueba más de la facilidad con la que la tecnología puede transformarse en una herramienta clandestina para obtener ganancias. Bajo la apariencia de una «herramienta de entrenamiento», se esconde una utilidad depredadora que no enseña, sino que corrompe, simplificando el camino hacia el crimen y difuminando la línea entre desarrollo y complicidad.
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
