Raven Stealer kötü amaçlı yazılım, oturum açma, ödeme verileri ve otomatik doldurma bilgilerini çalmak için telgraftan yararlanır

Raven Stealer, Delphi ve C ++ ‘da hazırlanmış sofistike, hafif bilgi çalan kötü amaçlı yazılımlar olarak ortaya çıktı ve Windows sistemlerini, Krom ve Edge gibi krom tabanlı tarayıcılardan oturum açma, ödeme ayrıntıları ve otomatik doldurma bilgileri gibi hassas verileri çıkarmaya odakladı.

İlk olarak 15 Temmuz 2025’te GitHub’da tespit edilen bu kötü amaçlı yazılım, sorunsuz dağıtım için modüler mimari kullanırken minimum kullanıcı etkileşimi gerektiren yüksek gizli ile çalışır.

Zerotrace adlı bir telgraf kanalı aracılığıyla “eğitim kullanımı” bahanesi altında tanıtılan Raven Stealer, gerçek zamanlı pesfiltrasyonu telgraf botları aracılığıyla entegre ederek acemi tehdit aktörlerinin bile kimlik bilgisi hasat kampanyalarını düzenlemesine izin veriyor.

Boyutu azaltmak ve statik algılamadan kaçmak için UPX ile paketlenmiş derlenmiş ikili dosyaları, UI öğeleri olmadan görünmez bir şekilde yürütür, gizli pencereler gibi teknikleri kullanır ve savunmaları atlamak için oyuklar.

Cyfirma raporuna göre, Raven’ı aynı Zerotrace ekibinden Octalyn Stealer gibi benzer varyantlara bağlantılarla Raven’ı, düşük katmanlı yasadışı pazarlara hükmetmek için bir çeşitlendirme stratejisi olduğunu gösteren, Hizmet Olarak Kötü Yazılım (MAAS) alanında bir emtia aracı olarak konumlandırıyor.

Teknik döküm

Ravenstealer.exe (MD5: 6237A776E38B6A60229AC12FC6B21FB3) ve V8axs07p gibi numunelerin statik analizi (MD5: F74EC376AA22CE0B0B0D55023D887DC72) DELPA AŞAĞIDAKİ AÇIKLAMA Telegram bot jetonları ve sohbet kimliklerini doğrudan yüklere dönüştürerek, C ++ ile yazılmış saplamalar için randomize 12 karakterli dosya adı oluşturur.

Yüksek entropi değerleri, Ters Mühendisliği karmaşıklaştıran UPX paketlemesini onaylarken, gömülü kaynaklar IDS 102 ve 103 kapsamında düz metin bot kimlik bilgilerini depolar.

Kötü amaçlı yazılım, NTallocateVirtualMemory ve NTWriteVirtualMemory gibi doğrudan syscall’ları kullanarak ChaCha20 ile şifreli bir yük_dll’i askıya alınmış tarayıcı işlemlerine enjekte eder ve disk yazımları olmadan yansıtıcı işlemi boşaltmayı mümkün kılar.

Bu, Chromium’un uygulamaya bağlı şifrelemesini (ABE), –No-sandbox ve –Disable-GPU gibi bayraklarla başsız modda tarayıcıları başlatarak, şifrelerin, çerezlerin ve ödeme verilerinin bellek içi şifresini kolaylaştırır.

Dinamik analiz, kurbanın kullanıcı adı ile eklenmiş zip arşivlerine sıkıştırılmadan önce %yerel %\ ravenstealer alt klasörlerinde düzenlenen çalıntı verilerle kripto cüzdanları, VPN istemcileri ve oyun platformları dahil olmak üzere sistem artefaktlarının numaralandırılmasını gösterir.

Exfiltration, Curl.exe Telegram’ın /SendDocument API’sini çağırarak gerçekleşir, Passsors.txt, Cookies.txt, Payion.txt ve ScreeChot.png gibi yapılandırılmış dosyaları içeren arşivleri oturum kaçırma ve finansal sömürü için aktarır.

ATT & CK ile eşleştirilen Raven, paketleme için T1027 (gizlenmiş dosyalar veya bilgiler), Kaçma için T1083 (Gizli Pencere) ve kimlik bilgisi avı için T1083 (Dosya ve Dizin Keşfi) gibi taktikleri kullanır.

Savunma önerileri

30 Nisan 2025’ten beri Telegram ve GitHub’da aktif olan Zerotrace ekibine atfedilen geliştiriciler, ravenstealer.cpp gibi kaynak dosyalarda hard kodlu yazar etiketlerini kullanarak güncellemeler, öğreticiler ve varyantlar için bir merkez tutarlar.

Bu altyapı, geleneksel C2’yi Telegram’ın bot odaklı veri dağıtımına yönelik anonimliğiyle değiştirir.

Raven’ın sessiz çalışması, modüler tasarımı ve tarayıcıların, cüzdanların ve hizmetlerin geniş hedeflenmesi, tehdit potansiyelini arttırır, UPX dolu yürütülebilir ürünler, anormal tarayıcı lansmanları ve Telegram API trafiğini izleme gibi savunmaları çağırır.

Stratejik hafifletmeler arasında syscall enjeksiyonları için uç nokta tespiti ve sanallaştırma kaçakçılığını karşı koymak için davranışsal analitikleri içerir.

Uzlaşma Göstergesi (IOCS)

Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!