Новая вредоносная программа Raven Stealer атакует браузеры, похищая пароли и платёжные данные

Группа исследователей Lat61 Threat Intelligence Team в Пойнт-Уайлд обнаружила новый тип скрытного вредоносного ПО, известный как Raven Stealer. Исследовательская группа под руководством Онкара Р. Сонавана обнаружила, что эта простая на вид программа удивительно хорошо скрывается, краду ваши личные данные. Исследование, опубликованное на Hackread.com, показывает, что вредоносное ПО в основном распространяется через подпольные форумы и поставляется вместе с пиратским ПО.

Raven Stealer, созданный с использованием языков программирования Delphi и C++, отличается компактностью и быстротой. Он незаметно проникает в ваш компьютер, где и начинает работать его полезная нагрузка (часть вредоносной программы, непосредственно наносящая вред).

Полезная нагрузка атакует популярные веб-браузеры, такие как Chrome и Edge, чтобы похищать такие данные, как ваши пароли, файлы cookie, платёжные данные и другую сохранённую вами информацию. Особенно коварна эта атака тем, что она может отправлять украденную информацию непосредственно киберпреступнику через мессенджер-бота Telegram. Это означает, что злоумышленники получают ваши данные в режиме реального времени.

В отчёте Point Wild объясняется, что Raven Stealer использует хитрый трюк, называемый «вытеснением процесса» , чтобы избежать обнаружения традиционными антивирусами. Это означает, что вместо того, чтобы оставлять файл на жёстком диске компьютера, он работает исключительно в его памяти, притворяясь обычным браузером. Это похоже на то, как угонщик выковыривает из автомобиля внутренности и устанавливает в него другой двигатель, чтобы тот выглядел как обычно, но использовался совершенно для другой цели. Этот приём затрудняет его обнаружение антивирусными программами.

Создатель вредоносного ПО использовал простую программу-конструктор для создания атакующего файла, скрывающего внутри зашифрованную «полезную нагрузку» и присваивающего ей уникальное имя для предотвращения обнаружения. Попав на зараженный компьютер, вредоносное ПО собирает снимок экрана и украденные данные в ZIP-файл , а затем пытается отправить его злоумышленнику через Telegram . Хотя эта передача не прошла тестирование из-за проблемы с токеном бота Telegram, угроза кражи данных сохраняется.

Чтобы защитить свои личные данные от подобных угроз, всегда используйте актуальные антивирусные программы с защитой в режиме реального времени и избегайте загрузки пиратских программ. Также разумно проявлять осторожность, переходя по подозрительным ссылкам или вложениям.

Как объясняет д-р Зульфикар Рамзан , технический директор Point Wild и руководитель группы по анализу угроз Lat61, «Raven Stealer демонстрирует развитие вредоносного ПО массового потребления, похищая учётные данные, файлы cookie и платёжные данные, скрывая свои следы посредством выполнения кода в оперативной памяти и эксфильтрации из Telegram. Это напоминание о том, что злоумышленники используют передовые методы в инструментах, которыми могут пользоваться даже неопытные злоумышленники».