Neue Raven-Stealer-Malware greift Browser auf Passwörter und Zahlungsdaten an

Das Lat61 Threat Intelligence Team in Point Wild hat eine neue, hinterhältige Malware namens Raven Stealer entdeckt. Das Forscherteam unter der Leitung von Onkar R. Sonawane fand heraus, dass dieses einfach aussehende Programm überraschend gut verborgen bleibt, während es persönliche Daten stiehlt. Die Forschungsergebnisse, die Hackread.com zur Verfügung gestellt wurden, zeigen, dass die Malware hauptsächlich über Untergrundforen verbreitet und mit Raubkopien gebündelt wird.

Raven Stealer wurde in den Programmiersprachen Delphi und C++ entwickelt und ist klein und schnell. Es funktioniert, indem es unbemerkt in Ihren Computer eindringt und dort seine Nutzlast (der Teil der Malware, der den eigentlichen Schaden anrichtet) ausführt.

Die Schadsoftware zielt auf gängige Webbrowser wie Chrome und Edge ab, um Ihre Passwörter, Cookies, Zahlungsdaten und andere gespeicherte Informationen abzugreifen. Besonders knifflig ist, dass die gestohlenen Informationen über einen Telegram-Messaging-Bot direkt an einen Cyberkriminellen gesendet werden können. So erhalten die Kriminellen Ihre Daten in Echtzeit.

Angriffsablauf, die Benutzeroberfläche der Datei und die generierte Nutzlast (Bildnachweis: Point Wild)

Der Bericht von Point Wild erklärt, dass Raven Stealer einen cleveren Trick namens „Process Hollowing“ nutzt, um der Erkennung durch herkömmliche Antivirenprogramme zu entgehen. Das bedeutet, dass die Malware nicht auf der Festplatte Ihres Computers gespeichert wird, sondern vollständig im Arbeitsspeicher Ihres Computers agiert und sich als normales Browserprogramm ausgibt. Das ist vergleichbar mit einem Autodieb, der ein Auto aushöhlt und einen anderen Motor einbaut, sodass es von außen normal aussieht, aber für etwas ganz anderes verwendet wird. Diese Technik macht es für Sicherheitssoftware schwierig, sie zu erkennen.

Der Ersteller der Malware verwendete ein einfaches Builder-Programm, um die Angriffsdatei zu erstellen. Diese enthält eine verschlüsselte „Nutzlast“ und gibt ihr einen eindeutigen Namen, um eine Erkennung zu vermeiden. Auf dem infizierten Computer sammelt die Malware einen Screenshot und die gestohlenen Daten in einer ZIP-Datei und versucht dann, diese per Telegram an den Angreifer zu senden. Obwohl diese Übertragung im Test aufgrund eines Problems mit dem Telegram-Bot-Token fehlschlug, besteht weiterhin die Gefahr des Datendiebstahls.

Um Ihre persönlichen Daten vor solchen Bedrohungen zu schützen, verwenden Sie stets aktuelle Antivirensoftware mit Echtzeitschutz und vermeiden Sie den Download von Raubkopien. Seien Sie auch vorsichtig, wenn Sie auf verdächtige Links oder Anhänge klicken.

Dr. Zulfikar Ramzan , CTO von Point Wild und Leiter des Lat61 Threat Intelligence Teams, erklärt: „Raven Stealer zeigt, wie sich Standard-Malware weiterentwickelt: Sie stiehlt Anmeldeinformationen, Cookies und Zahlungsdaten und verwischt gleichzeitig ihre Spuren durch In-Memory-Ausführung und Telegram-Exfiltration. Das zeigt, dass Angreifer fortschrittliche Techniken in Tools packen, die selbst weniger erfahrene Akteure nutzen können.“