Tus contraseñas y tu dinero ya están en Telegram: el nuevo virus Raven Stealer usa la app para robar datos al instante

Los especialistas del Lat61 Threat Intelligence Team presentaron un análisis detallado del programa malicioso Raven Stealer —un infostealer ligero y discreto, desarrollado en Delphi y C++. El informe revela capacidades para robar credenciales e información de navegadores, métodos de transmisión oculta de datos robados mediante Telegram, así como características de propagación a través de software pirateado y canales clandestinos.

Raven Stealer surgió como una nueva generación de malware para el robo de datos. Sus características clave son la mínima interacción con el usuario, un camuflaje cuidadoso y la transmisión instantánea de la información robada a través de la integración incorporada con Telegram. El malware puede recopilar cuentas de aplicaciones, extraer contraseñas, cookies, historial de navegación y datos de autocompletado de navegadores basados en Chromium. Todo esto se transmite al atacante en tiempo real, lo que hace que la amenaza sea especialmente peligrosa para sistemas domésticos y corporativos.

La propagación se realiza mediante software pirateado y foros ocultos. Gracias al editor de recursos integrado, los atacantes pueden añadir directamente al binario una configuración con tokens de Telegram, lo que facilita el trabajo incluso a operadores con poca experiencia. Para la gestión se ofrece una interfaz gráfica cómoda: el usuario introduce el Chat ID y el Token del bot, tras lo cual el generador incrusta esos datos en el ejecutable. A cada ejemplar generado se le asigna un nombre aleatorio de 12 caracteres, y el binario puede comprimirse con UPX. Esta combinación dificulta el análisis estático y la evasión de mecanismos de firma.

El análisis de la muestra mostró que los ejecutables fueron compilados en Delphi y Visual C++, y que los parámetros confidenciales de Telegram se almacenan en texto claro. Además, se detectó un módulo DLL altamente ofuscado en su interior. La DLL se carga en memoria mediante la API BeginUpdateResource, y luego se utiliza para la inyección en un proceso de navegador de confianza.

El mecanismo de implantación se basa en el método de reflective process hollowing. Para ello se inicia Chromium en estado suspendido, tras lo cual se carga en él el módulo descifrado (protegido con ChaCha20). Este enfoque permite que el stealer parezca un proceso legítimo y evada el análisis de comportamiento. Los datos recopilados se guardan en el directorio %Local%\RavenStealer. Allí se crean archivos de texto cookies.txt, passwords.txt y payment.txt, que contienen cookies, credenciales con contraseñas y datos de pago. Además se captura una imagen del escritorio. Toda la información se comprime en admin_RavenStealer.zip y se envía a través de la API de Telegram. En el caso analizado, la transferencia se interrumpió con un error 404 debido a un token incorrecto.

El análisis confirmó que Raven Stealer accede a la clave AES en el archivo Local State del navegador Edge para descifrar cookies y credenciales. Tras el procesamiento exitoso, la información se guarda como archivos de texto en claro, lo que facilita a los atacantes su uso para secuestrar sesiones, acceder a cuentas y realizar transacciones fraudulentas.

Para prevenir las infecciones se debe evitar descargar aplicaciones modificadas, mantener el sistema y el software actualizados, vigilar la actividad de los procesos y las conexiones de red, especialmente las relacionadas con la API de Telegram. Son eficaces las soluciones con análisis de comportamiento y monitorización en tiempo real capaces de detectar cifrados sospechosos e inyecciones en procesos de navegadores.

Raven Stealer es un ejemplo peligroso de infostealer «comercial»: fácil de configurar, sigiloso y capaz de eludir las soluciones de protección tradicionales. Su arquitectura flexible y el uso de un mensajero para transmitir lo robado hacen que la amenaza sea relevante para empresas y usuarios particulares, reforzando la necesidad de una protección multicapa y de un control atento de las estaciones de trabajo.