Mã độc Raven Stealer khai thác Telegram, đánh cắp thông tin đăng nhập các tài khoản và dữ liệu thanh toán

[MinhSec]

Một loại mã độc mới mang tên Raven Stealer đang gây lo ngại trong cộng đồng an ninh mạng vì khả năng đánh cắp dữ liệu tinh vi, hoạt động âm thầm và dễ dàng triển khai ngay cả với người không có kỹ năng cao. Được viết bằng Delphi và C++, Raven Stealer nhắm đến người dùng Windows, đặc biệt là những người sử dụng trình duyệt Chrome và Edge, để lấy cắp thông tin như mật khẩu, thẻ thanh toán và dữ liệu tự động điền.

Phần mềm này lần đầu được phát hiện trên GitHub vào ngày 15/7/2025, dưới danh nghĩa “giáo dục”. Tuy nhiên, thực chất nó là một công cụ nguy hiểm được chia sẻ thông qua kênh Telegram có tên ZeroTrace, cho phép tội phạm mạng ra tay chỉ với vài cú nhấp chuột.

Cách Raven Stealer hoạt động và các kỹ thuật ẩn mình​

Raven Stealer được đóng gói gọn nhẹ bằng công cụ UPX để tránh bị phát hiện. Nó không hiển thị cửa sổ nào khi hoạt động, dùng các kỹ thuật như xử lý rỗng và tiêm mã trực tiếp vào tiến trình trình duyệt, giúp vượt qua các cơ chế bảo mật.

Mã độc này thậm chí có thể qua mặt tính năng mã hóa App-Bound của trình duyệt Chromium bằng cách khởi động trình duyệt ở chế độ không giao diện, sau đó trích xuất mật khẩu, cookie, và dữ liệu thanh toán ngay trong bộ nhớ.

Raven cũng thu thập ví tiền điện tử, tài khoản VPN, nền tảng chơi game, rồi lưu dữ liệu bị đánh cắp vào thư mục %Local%\RavenStealer và nén lại trước khi gửi lên Telegram qua bot điều khiển.

Dữ liệu được truyền đi bao gồm các tệp như passwords.txt, cookies.txt, payment.txt và ảnh chụp màn hình tất cả đều giúp kẻ xấu chiếm đoạt tài khoản và khai thác tài chính.

Ai đứng sau Raven và làm thế nào để phòng tránh?​

Raven Stealer được cho là sản phẩm của nhóm phát triển ZeroTrace, hoạt động công khai từ cuối tháng 4/2025 trên GitHub và Telegram. Nhóm này phát hành các bản cập nhật, hướng dẫn sử dụng và công cụ xây dựng mã độc theo mô hình Malware-as-a-Service (MaaS) tức là ai cũng có thể tạo và triển khai phần mềm này một cách dễ dàng.

Do Raven Stealer sử dụng Telegram làm kênh C2 (điều khiển và thu thập dữ liệu), các biện pháp phòng vệ truyền thống rất dễ bị qua mặt.

Một số khuyến nghị để phòng tránh:​

Giám sát các tệp thực thi nghi ngờ được đóng gói bằng UPX

Theo dõi các hành vi bất thường như trình duyệt khởi chạy không giao diện

Kiểm tra lưu lượng mạng đến các API của Telegram

Dùng phần mềm bảo mật có khả năng phân tích hành vi, phát hiện gọi hàm hệ thống bất thường như NtAllocateVirtualMemory

Việc hiểu rõ cách Raven Stealer vận hành là bước đầu tiên để chủ động phòng ngừa. Trong bối cảnh phần mềm độc hại ngày càng tinh vi và dễ tiếp cận, người dùng cần cập nhật nhận thức bảo mật và trang bị công cụ bảo vệ phù hợp.

Raven Stealer Malware Exploits Telegram to Steal Logins, Payment Data, and Autofill Info

Raven Stealer has emerged as sophisticated, lightweight information-stealing malware crafted in Delphi and C++, targeting Windows systems.

gbhackers.com

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview