Redazione RHC : 30 julio 2025 10:51
En medio de la creciente actividad de campañas maliciosas que utilizan canales de comunicación legítimos para evadir las defensas tradicionales, una nueva herramienta ha llamado la atención de los especialistas en ciberseguridad: Raven Stealer. Este programa de robo de información apareció en julio de 2025 y ya se ha propagado a través de Telegram y GitHub, llamando la atención no solo por su funcionalidad, sino también por su combinación de sigilo, facilidad de uso y eficacia en la entrega de datos robados.
Raven es actualmente objeto de acalorado debate entre los analistas de amenazas, ya que demuestra cómo se pueden evadir los antivirus y los mecanismos de protección integrados en el navegador con métodos sencillos. Raven Stealer está desarrollado en Delphi y C++ y está dirigido a sistemas Windows. Recopila datos de inicio de sesión, detalles de pago y autocompletado de navegadores Chromium, incluyendo Chrome y Edge. El malware se distribuye a través del canal de Telegram de ZeroTrace como herramienta de entrenamiento y permite incluso a usuarios sin experiencia iniciar ataques de robo de datos utilizando el generador de compilaciones integrado. Telegram también se utiliza como canal para transmitir información robada, eliminando la necesidad de un servidor C2 tradicional.
Los ensamblados se comprimen mediante UPX para dificultar el análisis y evitar su detección. Una vez ejecutado, el malware inyecta un módulo cifrado en los procesos del navegador mediante llamadas al sistema como NtWriteVirtualMemory, lo que le permite eludir el sistema de archivos. Las contraseñas, las cookies y los datos de pago se extraen a la memoria, evadiendo la protección de cifrado de la aplicación.
Además, Raven escanea el sistema en busca de monederos de criptomonedas, VPN y juegos, y guarda todos los datos en un archivo ZIP con el nombre de usuario. La transferencia se realiza mediante curl.exe, que utiliza la API de Telegram para descargar archivos, incluyendo capturas de pantalla y listas de texto con información confidencial. Los métodos implementados en Raven corresponden a varias técnicas de MITRE ATT&CK: ofuscación, ventanas ocultas, recolección de directorios y el uso de Telegram como canal de comandos. Esta arquitectura hace que la herramienta sea potente y sigilosa.
El equipo de ZeroTrace ha apoyado el proyecto desde finales de abril de 2025, publicando actualizaciones y el código fuente en GitHub y Telegram. El malware ya se ha comparado con otro de sus productos, Octalyn Stealer, lo que demuestra una estrategia sistemática para distribuir ladrones de información simples pero efectivos. Como medidas de protección, los expertos recomiendan monitorear archivos comprimidos UPX, indicadores de inicio de navegadores no estándar, llamadas curl y el acceso a la API de Telegram, así como usar análisis de comportamiento y monitoreo de llamadas del sistema.
Raven Stealer es una prueba más de la facilidad con la que la tecnología puede transformarse en una herramienta clandestina para obtener ganancias. Bajo la apariencia de una «herramienta de entrenamiento», se esconde una utilidad depredadora que no enseña, sino que corrompe, simplificando el camino hacia el crimen y difuminando la línea entre desarrollo y complicidad.
Redazione«Necesito un sistema para gestionar los eventos de mi iglesia: voluntarios, registro, planificación de eventos comunitarios.». Dos semanas después de escribir esta propuesta, John ...
El estado estadounidense de Wyoming, con una población de poco menos de 600.000 habitantes, podría contar con un centro de datos que consuma más electricidad que toda la población ...
En todo el Reino Unido, la gente está recurriendo a las redes privadas virtuales (VPN) con bloqueo de ubicación para eludir las nuevas normas nacionales sobre verificación de edad en l&...
Mientras Occidente combate los ataques de ransomware y las empresas privadas invierten en seguridad defensiva, al otro lado del frente digital, la guerra se desarrolla de forma asimétrica. El 28 ...
El grupo Scattered Spider ha intensificado sus ataques a entornos de TI corporativos, teniendo como objetivo los hipervisores VMware ESXi de empresas estadounidenses de los sectores minorista, de tran...
Para más información: [email protected]
