El paisaje de Infentes de Commodity tiene un nuevo participante en Raven Stealer, un binario compacto de Delphi/C ++ que secuestra la API BOT de Telegram para espiritir los secretos del navegador de las víctimas.
Visto por primera vez a mediados de julio de 2025 en un repositorio de GitHub operado por el autodenominado equipo de ZeroTrace, Raven llega, ya sea empacado como un ejecutable comprometido con UPX o que se abunda en el interior de los archivos adjuntos renombrados como “factura.3mf.exe”.
Una vez ejecutada, la carga útil se ejecuta sin cabeza, nunca presenta una ventana de consola e inmediatamente prepara el suelo para la exfiltración encubierta.
Las cadenas de ataque observadas en la naturaleza confían en convencer señuelos de ingeniería social que canalizan los objetivos a las liberaciones de GitHub o los mensajes de telegrama directo que contienen la producción del constructor.
Dentro de los segundos de la ejecución, el stub enumera los navegadores instalados basados en el cromo, descifra contraseñas y cookies guardadas, y recoge billeteras de criptomonedas y datos automáticos en una jerarquía ordenada de carpetas.
Analistas de cyfirma anotado La estructura de directorio disciplinada del robador,%local%\\ Ravenstealer \\ Chrome, Edge y Crypto Wallets, que simplifica el triaje posterior a la infección para los actores de amenazas.
Las ramificaciones son graves: una sola infección produce credenciales de dominio, detalles de la tarjeta de pago y cookies persistentes de sesión que evitan el MFA.
Al agravar la amenaza, la exfiltración aprovecha el punto final de Telegram /SendDocument, lo que permite a los operadores recibir archivos postales sobre un canal encriptado que la mayoría de los firewalls corporativos permiten de forma predeterminada.
Raven Steller (Fuente – Cyphirma)
Este tablero muestra el archivo resultante de Raven, cuyo nombre de archivo incrusta el nombre de usuario de la víctima para la catalogación sin esfuerzo.
Mecanismo de infección: proceso reflectante que se está huecando dentro del cromo
El truco más llamativo de Raven se encuentra en su cadena de inyección DLL en memoria. Después de desempacar a sí mismo (entropía> 7 confirma UPX), el gotero descifra una DLL incrustada almacenada bajo ID de recursos 101 y recolecta el telegrama bot_token y chat_id de los recursos 102 y 103.
Extracción de Token y Chatid (fuente – Cyfirma)
Luego genera chrome.exe en un estado suspendido con-Headless –shisable-GPU–No-Sandbox, asigna la memoria a través de NtallocateVirtualMemory, y mapea la DLL en el nuevo proceso-Bypassing User-Land Hooks y ocultando detrás de la firma legítima del navegador.
Un fragmento de la rutina de extracción de recursos ilustra el estilo de bajo nivel de Raven:-
Hrsrc hres = findResourcew (nulo, makeIntresource (102), rt_rcdata); DWord sz = sizeOfResource (nulo, hres); Byte* pbuf = (byte*) Lockresource (LoadResource (NULL, HRES)); // pbuf ahora contiene el token de bot de telegrama en texto plano
Una vez que termina la colección, PowerShell comprime %local %\\ RavenStealer en %TEMP %\\ _ ravenstealer.zip, y curl.exe empuja el archivo a https://api.telegram.org/bot/senddocument.
Una regla mínima de Yara publicada por Cyfirma identifica la amenaza al igualar cadenas como “contraseñas.txt”, “api.telegram.org” y el hash 256 hash 28d6fbbd … 55 incrustado en construcciones más antiguas:—-
$ s1 = “api.telegram.org” nocase $ s2 = “%local%\\ ravenstealer \\ chrome” nocase Condición: 3 de ($ s*)
Al entrelazar el embalaje sigiloso, la inyección de nivel Syscall y el telegrama C2, Raven Stealer subraya cuán poca experiencia ahora se requiere para montar campañas de credenciales de alto rendimiento.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
