Redazione RHC : 30 julio 2025 10:51
En medio de la creciente actividad de campañas maliciosas que utilizan canales de comunicación legítimos para evadir las defensas tradicionales, una nueva herramienta ha llamado la atención de los especialistas en ciberseguridad: Raven Stealer. Este programa de robo de información apareció en julio de 2025 y ya se ha propagado a través de Telegram y GitHub, llamando la atención no solo por su funcionalidad, sino también por su combinación de sigilo, facilidad de uso y eficacia en la entrega de datos robados.
Raven es actualmente objeto de acalorado debate entre los analistas de amenazas, ya que demuestra cómo se pueden evadir los antivirus y los mecanismos de protección integrados en el navegador con métodos sencillos. Raven Stealer está desarrollado en Delphi y C++ y está dirigido a sistemas Windows. Recopila datos de inicio de sesión, detalles de pago y autocompletado de navegadores Chromium, incluyendo Chrome y Edge. El malware se distribuye a través del canal de Telegram de ZeroTrace como herramienta de entrenamiento y permite incluso a usuarios sin experiencia iniciar ataques de robo de datos utilizando el generador de compilaciones integrado. Telegram también se utiliza como canal para transmitir información robada, eliminando la necesidad de un servidor C2 tradicional.
Los ensamblados se comprimen mediante UPX para dificultar el análisis y evitar su detección. Una vez ejecutado, el malware inyecta un módulo cifrado en los procesos del navegador mediante llamadas al sistema como NtWriteVirtualMemory, lo que le permite eludir el sistema de archivos. Las contraseñas, las cookies y los datos de pago se extraen a la memoria, evadiendo la protección de cifrado de la aplicación.
Además, Raven escanea el sistema en busca de monederos de criptomonedas, VPN y juegos, y guarda todos los datos en un archivo ZIP con el nombre de usuario. La transferencia se realiza mediante curl.exe, que utiliza la API de Telegram para descargar archivos, incluyendo capturas de pantalla y listas de texto con información confidencial. Los métodos implementados en Raven corresponden a varias técnicas de MITRE ATT&CK: ofuscación, ventanas ocultas, recolección de directorios y el uso de Telegram como canal de comandos. Esta arquitectura hace que la herramienta sea potente y sigilosa.
El equipo de ZeroTrace ha apoyado el proyecto desde finales de abril de 2025, publicando actualizaciones y el código fuente en GitHub y Telegram. El malware ya se ha comparado con otro de sus productos, Octalyn Stealer, lo que demuestra una estrategia sistemática para distribuir ladrones de información simples pero efectivos. Como medidas de protección, los expertos recomiendan monitorear archivos comprimidos UPX, indicadores de inicio de navegadores no estándar, llamadas curl y el acceso a la API de Telegram, así como usar análisis de comportamiento y monitoreo de llamadas del sistema.
Raven Stealer es una prueba más de la facilidad con la que la tecnología puede transformarse en una herramienta clandestina para obtener ganancias. Bajo la apariencia de una «herramienta de entrenamiento», se esconde una utilidad depredadora que no enseña, sino que corrompe, simplificando el camino hacia el crimen y difuminando la línea entre desarrollo y complicidad.
RedazioneMientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
