Un nuevo participante en el ámbito del robo de información, Raven Stealer, ha emergido. Este programa, desarrollado en Delphi y C++, utiliza la API de bots de Telegram para exfiltrar de forma sigilosa datos sensibles del navegador de sus víctimas.
Distribución y Ejecución Inicial
Raven Stealer fue detectado por primera vez a mediados de julio de 2025 en un repositorio de GitHub operado por el ZeroTrace Team. Se distribuye en formatos comprimidos como ejecutables UPX o disfrazado en archivos adjuntos renombrados como «invoice.3mf.exe». Una vez ejecutado, el software opera en segundo plano sin mostrar una interfaz de usuario, preparándose inmediatamente para la extracción encubierta de datos.
Métodos de Infección y Recopilación de Datos
Las campañas de ataque observadas emplean tácticas de ingeniería social persuasivas, dirigiendo a las víctimas hacia lanzamientos de GitHub o mensajes directos de Telegram que contienen el dropper. En cuestión de segundos tras la ejecución, Raven Stealer enumera los navegadores basados en Chromium instalados, descifra contraseñas y cookies guardadas, y recolecta carteras de criptomonedas y datos de autocompletar. Estos datos se organizan meticulosamente en una estructura de carpetas (por ejemplo, %Local%\\RavenStealer\\Chrome, Edge y Crypto Wallets), lo que simplifica la clasificación post-infección para los atacantes, según señalaron los analistas de Cyfirma.
Impacto y Exfiltración de Datos
Las consecuencias de una infección son severas, ya que un solo ataque puede comprometer credenciales de dominio, detalles de tarjetas de pago y cookies de sesión persistentes que pueden eludir la autenticación multifactor (MFA). La exfiltración de datos se realiza a través del punto final /sendDocument de Telegram, lo que permite a los operadores recibir archivos ZIP cifrados a través de un canal que la mayoría de los firewalls corporativos suelen permitir por defecto. El nombre del archivo ZIP exfiltrado incorpora el nombre de usuario de la víctima para facilitar su catalogación.
Mecanismo de Inyección Avanzado
La técnica más notable de Raven Stealer es su cadena de inyección de DLL en memoria. Después de la descompresión, el dropper descifra una DLL incrustada y extrae el bot_token y el chat_id de Telegram. Luego, inicia chrome.exe en un estado suspendido y sin interfaz gráfica (--headless --disable-gpu --no-sandbox), asigna memoria y mapea la DLL en el nuevo proceso. Esto le permite evadir los hooks de usuario y ocultarse detrás de la firma legítima del navegador.
Una muestra del proceso de extracción de recursos ilustra el enfoque de bajo nivel de Raven:
HRSRC hRes = FindResourceW(NULL, MAKEINTRESOURCE(102), RT_RCDATA);
DWORD sz = SizeofResource(NULL, hRes);
BYTE* pBuf = (BYTE*)LockResource(LoadResource(NULL, hRes));
// pBuf ahora contiene el token del bot de Telegram en texto sin formato
Una vez recopilados los datos, PowerShell comprime la carpeta %Local%\\RavenStealer en %TEMP%\\_RavenStealer.zip, y curl.exe se encarga de enviarlo a https://api.telegram.org/bot/sendDocument.
Detección
Cyfirma ha publicado una regla YARA que ayuda a identificar esta amenaza, buscando cadenas como «passwords.txt», «api.telegram.org» y el hash SHA-256 28d6fbbd...55 incrustado en versiones anteriores.
$s1 = «api.telegram.org» nocase
$s2 = «%Local%\\RavenStealer\\Chrome» nocase
condition: 3 of ($s*)
La combinación del empaquetado sigiloso, la inyección a nivel de syscall y el uso de Telegram como canal de comando y control (C2), subraya la facilidad con la que ahora se pueden lanzar campañas de robo de credenciales de alta eficiencia.
