Delphi, C++ и безграничная наглость. Raven Stealer превращает Telegram в канал для кражи паролей

Специалисты Lat61 Threat Intelligence Team представили подробный разбор вредоносной программы Raven Stealer — лёгкого и незаметного инфостилера, созданного на Delphi и C++. В отчёте раскрываются возможности по краже учётных данных и информации из браузеров, методы скрытной передачи похищенных данных через Telegram, а также особенности распространения через пиратские программы и подпольные каналы.

Raven Stealer появился как новое поколение вредоносного ПО для кражи данных. Его ключевые особенности — минимальное взаимодействие с пользователем, продуманная маскировка и мгновенная передача украденной информации через встроенную интеграцию с Telegram. Вредонос способен собирать учётные записи из приложений, извлекать пароли, куки, историю посещений и автозаполнение из браузеров на базе Chromium. Всё это передаётся атакующему в реальном времени, что делает угрозу особенно опасной для домашних и корпоративных систем.

Распространение идёт через пиратский софт и теневые форумы. Благодаря встроенному редактору ресурсов злоумышленники могут прямо в бинарь добавить конфигурацию с токенами Telegram, что упрощает работу даже малоопытным операторам. Для управления предусмотрен удобный графический интерфейс: пользователь вводит Chat ID и Bot Token, после чего генератор встраивает эти данные в исполняемый файл. Каждому собранному экземпляру присваивается случайное имя из 12 символов, а бинарь может быть упакован с помощью UPX. Такое сочетание усложняет статический анализ и обход сигнатурных средств защиты.

Исследование образца показало, что исполняемые файлы скомпилированы в Delphi и Visual C++, а конфиденциальные параметры Telegram сохраняются в открытом виде. Кроме того, внутри обнаружен сильно обфусцированный DLL-модуль. DLL загружается в память через BeginUpdateResource API, а затем используется для инъекции в доверенный процесс браузера.

Механизм внедрения опирается на метод reflective process hollowing. Для этого запускается Chromium в приостановленном состоянии, после чего в него подгружается расшифрованный модуль (защищённый ChaCha20). Такой подход позволяет стилеру выглядеть как законный процесс и уходить от поведенческого анализа. Собранные данные записываются в каталог %Local%\RavenStealer. Там создаются текстовые файлы cookies.txt, passwords.txt и payment.txt, содержащие куки, логины с паролями и платёжные данные. Дополнительно фиксируется скриншот рабочего стола. Вся информация архивируется в admin_RavenStealer.zip и отправляется через API Telegram. В исследуемом случае передача прервалась ошибкой 404 из-за неверного токена.

Анализ подтвердил, что Raven Stealer обращается к ключу AES в Local State браузера Edge для расшифровки куков и учётных данных. После успешной обработки информация сохраняется в виде открытых текстовых файлов, что облегчает злоумышленнику их использование для перехвата сессий, входа в учётные записи и мошеннических транзакций.

Для предотвращения заражений требуется отказаться от скачивания взломанных приложений, обновлять систему и ПО, контролировать активность процессов и сетевые соединения, особенно связанные с Telegram API. Эффективны решения с поведенческим анализом и мониторингом в реальном времени, способные заметить подозрительное шифрование и инжекции в процессы браузеров.

Raven Stealer представляет собой опасный пример «товарного» инфостилера: лёгкий в настройке, скрытный и способный обходить традиционные средства защиты. Его гибкая архитектура и использование мессенджера для передачи украденного делают угрозу актуальной для компаний и частных пользователей, усиливая необходимость в многоуровневой защите и внимательном контроле рабочих станций.