Как украсть всё через Telegram и не попасться: Raven Stealer показывает пример

Raven Stealer Cyfirma ZeroTrace Telegram Windows Chrome инфостилер кража данных
Как украсть всё через Telegram и не попасться: Raven Stealer показывает пример
Raven Stealer Cyfirma ZeroTrace Telegram Windows Chrome инфостилер кража данных

Как Raven Stealer превратил Telegram в командный пункт для кражи данных.

image

На фоне растущей активности вредоносных кампаний, использующих легитимные каналы связи в обход традиционных защит, в поле зрения ИБ-специалистов попал новый инструмент — Raven Stealer. Эта программа для кражи информации появилась в июле 2025 года и уже распространилась через Telegram и GitHub, вызвав интерес не только из-за своей функциональности, но и благодаря сочетанию скрытности, лёгкости использования и эффективного способа доставки украденных данных.

Сейчас Raven активно обсуждается в среде аналитиков угроз, поскольку демонстрирует, как простыми средствами можно обойти антивирусы и встроенные механизмы защиты браузеров.

Raven Stealer разработан на Delphi и C++ и ориентирован на Windows-системы. Он собирает логины, платёжные данные и автозаполнения из Chromium-браузеров, включая Chrome и Edge. Вредонос распространяется через Telegram-канал ZeroTrace под видом «учебного инструмента» и позволяет даже неопытным пользователям запускать кражу данных с помощью встроенного генератора сборок. Telegram используется и как канал для передачи похищенной информации, что исключает необходимость в классическом C2-сервере.

Сборки упакованы через UPX, чтобы затруднить анализ и избежать обнаружения. После запуска вредонос внедряет зашифрованный модуль в процессы браузеров с помощью системных вызовов вроде NtWriteVirtualMemory, что позволяет обойти файловую систему. Пароли, куки и платёжные данные извлекаются в памяти, минуя защиту App-Bound Encryption.

Дополнительно Raven сканирует систему на наличие криптокошельков, VPN и игр, а все данные сохраняет в ZIP-архив с именем пользователя. Передача происходит через «curl.exe», который использует Telegram API для загрузки файлов, включая скриншоты и текстовые списки с конфиденциальной информацией.

Методы, реализованные в Raven, соответствуют ряду техник из MITRE ATT&CK: обфускация, скрытые окна, сбор информации из каталогов и использование Telegram как командного канала. Такая архитектура делает инструмент мощным и незаметным.

Команда ZeroTrace поддерживает проект с конца апреля 2025 года, размещая обновления и исходники на GitHub и Telegram. Вредонос уже сравнивают с другим их продуктом — Octalyn Stealer, что указывает на систематическую стратегию распространения простых, но эффективных инфостилеров.

В качестве мер защиты специалисты советуют отслеживать UPX-упакованные файлы, нестандартные флаги запуска браузеров, вызовы curl и обращение к Telegram API, а также применять поведенческий анализ и мониторинг системных вызовов.

Raven Stealer — ещё одно напоминание о том, как легко технологии превращаются в орудие наживы. Под маской «учебного инструмента» скрывается хищная утилита, которая не обучает, а разлагает — упрощая путь к преступлению и размывая грань между разработкой и соучастием.