23 set Raven Stealer rouba senhas, cookies e dados via Telegram

Uma nova campanha de malware, denominada Raven Stealer, foi identificada por investigadores da PointWild. 

Criminosos estão usando e-mails de phishing e softwares pirateados para roubar informações como senhas, cookies, históricos de busca e informações de pagamento. Os dados eram armazenados em pastas .zip e enviadas via chat-bot no Telegram – que conectava ao servidor C2 que levava todas as informações para os criminosos. A campanha visa navegadores baseados em Chromium, incluindo os mais famosos, como o Chrome e o Edge.

A PointWild, que conduziu a investigação, revelou que esta campanha usa um malware bem leve, desenvolvido nas linguagens de código Delphi e C++, conhecidas pela facilidade na criação de aplicações para desktop e pelo alto nível de controle de recursos e memória do sistema operacional. O Raven Stealer precisa de pouca interação com o usuário, mas mantém um comprometimento operacional de alto nível. Ou seja, o malware precisa de poucas ferramentas para fazer um grande estrago.

Como o Raven Stealer funciona?

Esta campanha chega via phishing – com e-mails fraudulentos se passando por empresas de software, ou por softwares piratas. O principal risco do Raven Stealer é que ele consegue burlar sistemas antivírus e transmitir os dados roubados de forma instantânea.

Diagrama detalha os principais passos da campanha de malware. Crédito: Point Wild.

O malware varre o sistema em busca de navegadores Chromium e derivados, extrai senhas salvas, cookies, histórico, autofill, arquivos de pagamento, e às vezes tira screenshots. Cria arquivos como passwords.txt, cookies.txt, payment.txt.Todas as informações captadas são armazenadas em um zip criptografado, que é enviado via API do Telegram.

Depois disso, o Raven Stealer ainda pode tentar apagar rastros e renomear arquivos para confundir os antivírus.

Quais os principais riscos?

Com credenciais e cookies em mãos, o invasor não precisa nem da sua senha para entrar nas suas contas: ele simplesmente “assume” sessões ativas (session hijacking), acessando e-mails, redes sociais e painéis bancários como se fosse você. Além disso, quando o malware também coleta dados de pagamento e informações de autofill, abre-se a porta para fraudes diretas. Compras não autorizadas, adição de métodos de pagamento em contas, ou mesmo transferências em serviços que não exigem revalidação frequente são algumas das formas como o Raven Stealer pode agir.

Esses acessos podem ser usados para clonar perfis, pedir redefinições de senha usando e-mail comprometido ou montar golpes mais convincentes (por exemplo, enviar mensagens de phishing a contatos pessoais já confiáveis), ampliando o dano além da simples “perda de senha”.

No ambiente corporativo o estrago escala: uma única conta de e-mail ou credencial administrativa roubada permite movimentação lateral dentro da rede — o criminoso pivotar para servidores, acessar bases de dados sensíveis ou implantar mais malware em outros endpoints. 

As credenciais exfiltradas também viram mercadoria em mercados ilegais; atores distintos compram esses dados e realizam campanhas automatizadas de conta-takeover por credential stuffing, que explodem em volume e atingem pessoas e empresas em massa. 

Além do prejuízo financeiro direto, há risco legal (exposição de dados de clientes) e reputacional severo — e o problema se agrava porque builders facilitam a vida de invasores inexperientes, transformando o ataque em produto e permitindo campanhas amplas e repetidas com pouco esforço técnico.

Identificando vítimas do malware

No dia a dia, sinais sutis podem denunciar uma infecção: navegadores que deslogam sozinho, entradas de login que você não reconhece ou comportamentos estranhos ao usar sites são indicações de que alguém pode estar “tomando” suas sessões via cookies roubados. 

Arquivos e pastas incomuns em %Local% ou %AppData% (nomes genéricos como RavenStealer ou arquivos tipo cookies.txt, passwords.txt) também são pistas claras; da mesma forma, processos legítimos com uso anômalo de CPU/memória podem indicar injeção de código em memória. Fora isso, tráfego de rede para endpoints estranhos ou chamadas a APIs de bots (por exemplo, requisições a endpoints do Telegram vindas do seu dispositivo) é um sinal técnico de exfiltração em andamento.

Quando o problema é confirmado ou altamente suspeito, agir rápido reduz danos: desconectar a máquina da rede impede a exfiltração imediata; rodar um EDR/antivírus atualizado e, se possível, fazer análise off-line ajuda a identificar e remover o binário. Mudar senhas em um dispositivo limpo e revogar sessões ativas (opção “Sair de todos os dispositivos” nos serviços críticos) impede que o invasor use credenciais já comprometidas. 

Em ataques corporativos, atenção: uma credencial roubada pode permitir movimentação lateral e acesso a sistemas sensíveis, por isso investigar e isolar contas comprometidas é essencial para conter o impacto.

Como se proteger?

Algumas ações podem ajudar a manter-se imune da campanha. 

Desconecte imediatamente da rede qualquer máquina com sinais de infecção.Rode EDR/antivírus atualizado; faça varredura completa e, se possível, análise offline com ferramentas especializadas.Mude senhas críticas em um dispositivo limpo — não altere senhas a partir da máquina possivelmente comprometida;Revogue sessões ativas em serviços importantes (e-mail, bancos, redes sociais, consoles de trabalho);Ative MFA em todas as contas que suportam (aplicativo autenticador preferível a SMS).Restaure o perfil do navegador ou reinstale o sistema se houver suspeita de comprometimento profundo (cookies/session hijack é difícil de limpar só com remoção de arquivos);Evite instalar software pirata/cracks e desconfie de anexos e links desconhecidos; use fontes oficiais;Use um gerenciador de senhas confiável e não salve senhas em navegadores sem critério; prefira senhas únicas por serviço;Mantenha sistema operacional, navegador e plugins atualizados — exploits conhecidos são vetores comuns;Monitore extratos bancários e logs de acesso; registre IOCs (hashes, nomes de arquivos, endpoints) e envie ao time de segurança ou comunidade de threat intel se for caso corporativo.