Advertisement

Responsive Advertisement

Raven Stealer rouba senhas, cookies e dados via Telegram

Grupo Mugs dezembro 10, 2025

 

Raven Stealer é uma família de info-stealers que pega senhas, cookies e outros dados do navegador e usa o Telegram (bot API / canais) como canal de exfiltração em muitas variantes/implementações. CYFIRMA+2Point Wild+2

Resumo rápido e direto:

  • O que rouba: senhas salvas, cookies, autofill, dados de pagamento/cartões, histórico, e às vezes carteiras/strings de apps. Point Wild+1
  • Como envia os dados: muitos samples embutem um token de Telegram Bot ou usam canais/contas Telegram para receber os ficheiros/strings exfiltrados em tempo real. CYFIRMA+1
  • Como chega ao PC: frequentemente via fóruns underground, cracks/piratas, anexos ou payloads empacotados — ou seja, instalações de software não confiável. Point Wild+1

O que fazer se suspeitar de infecção (passos práticos):

  1. Isolar o dispositivo (desconectar da rede).
  2. Fazer varredura com antivírus/EDR atualizados e ferramentas de remoção (Malwarebytes, scanners do seu AV comercial). Broadcom
  3. De um dispositivo limpo: mudar senhas críticas (email, bancos, contas com 2FA) e revogar sessões/logins de browsers (Google Account > Segurança > dispositivos). Não mude senhas no PC possivelmente comprometido.
  4. Habilitar MFA onde for possível e revisar métodos de recuperação.
  5. Limpar/forçar logout em navegadores (remover cookies/senhas salvas) e verificar extensões maliciosas.
  6. Se houver exposição de dados financeiros, contatar bancos e monitorar transações.
    (Fontes técnicas que descrevem as capacidades e recomendações estão nos relatórios citados). CYFIRMA+1

A — Checklist passo-a-passo (recuperação e contenção)

Use esta ordem — importante não mudar senhas críticas no computador possivelmente comprometido; faça tudo a partir de um dispositivo limpo (celular confiável ou outro PC).

  1. Isolar
    • Desconecte o PC da internet (desativar Wi-Fi, cabo e Bluetooth).
  2. Detectar e coletar (opcional, só se souber o que faz)
    • Faça uma foto/lista de processos suspeitos, nomes de arquivos e mensagens de erro para investigação.
  3. Varredura com ferramentas confiáveis
    • Do modo offline ou a partir de outro dispositivo, baixe ferramentas atualizadas (Malwarebytes, Windows Defender Offline, ESET, etc.). Execute scans em modo de segurança se possível.
  4. Criar dispositivo limpo
    • Pegue outro dispositivo limpo (celular ou PC) — só nele entre nas contas para recuperação.
  5. Mudar senhas críticas a partir do dispositivo limpo
    • E-mail principal, bancos, serviços de autenticação, redes sociais. Use senhas únicas e fortes.
  6. Revogar sessões e tokens
    • Em contas (Google, Microsoft, serviços bancários, redes sociais) revogue sessões ativas e desconecte todos os dispositivos. Regenerar API keys / tokens se aplicável.
  7. Ativar 2FA/MFA
    • Preferir apps de autenticação (Authy, Google Authenticator) ou chaves FIDO2; evitar SMS se possível.
  8. Limpar dados do navegador e forçar logout
    • No PC comprometido: apagar cookies, remover senhas salvas, limpar autofill; depois reinstalar o navegador se necessário.
  9. Verificar e remover extensões
    • Desinstale extensões do navegador não reconhecidas.
  10. Reinstalação completa (se dúvidas persistirem)
    • Se o comprometimento for profundo, considere backup dos dados essenciais, formatar e reinstalar o sistema operacional.
  11. Monitoramento financeiro e de contas
    • Avisar bancos, monitorar transações, ativar alertas; revisar logs de acesso e notificações das contas.
  12. Preservar amostras (para análise)
    • Se quiser que um especialista analise, preserve cópias do binário/malware sem executá-lo e envie a um time de confiança.

B — Como o exfiltração via Telegram funciona (resumo técnico)

Resumo em linguagem direta — útil para entender IOCs e bloquear.

  1. Canal usado: Telegram Bot API
    • A técnica mais comum é o malware carregar um token de bot (string longa) embutida e usar chamadas HTTP(S) para https://api.telegram.org/bot<TOkEN>/sendMessage ou .../sendDocument para enviar texto e ficheiros ao atacante.
    • Em vez de enviar para servidores C2 próprios, o malware “empurra” os dados para o bot Telegram do operador — simples, resiliente e difícil de bloquear se não prestar atenção ao tráfego API.
  2. O que é enviado
    • Strings (senhas, cookies, autofill), arquivos ZIP com perfis de navegador, capturas de tela, ficheiros de configuração de carteiras e às vezes screenshots de autenticações. Podem criptografar/compactar antes de enviar.
  3. Como o malware coleta os dados
    • Lê bases locais de dados dos navegadores (SQLite), arquivos de cookies, chaves armazenadas, arquivos de perfis, chaves de carteira encontradas em diretórios conhecidos, e pega dados de apps (ex.: Discord, Steam).
    • Pode executar comandos para dump de processos, ler ficheiros Local Storage, Login Data, Cookies, etc.
  4. Características técnicas frequentes
    • Strings no binário como api.telegram.org ou patterns de token (<user_id>:<alphanumeric>) — tokens de bot tipicamente têm formato <digits>:<long_base64_like>.
    • Chamadas HTTP POST para endpoints do Telegram com multipart/form-data (sendDocument) para anexos ou JSON para mensagens.
    • Uso de proxies ou serviços de tunneling para ofuscar origem, e compactação (zip) dos dados.
  5. Por que usam Telegram
    • Fácil de integrar (HTTP API pública), canal “gratuito” e com persistência de dados no servidor do Telegram; o operador recebe tudo diretamente no chat do bot ou canal, sem infra própria exposta.

C — Indicadores de compromisso (IOCs) práticos para procurar

  • Presença nos logs/strings de: api.telegram.org, sendMessage, sendDocument.
  • Strings com formato de token: sequências tipo 123456789:AA... (digitos, dois pontos, string com maiúsculas/minúsculas/underscore/hífen).
  • Arquivos ZIP recentes com nomes estranhos em pastas de usuário (Downloads, AppData, Temp).
  • Processos desconhecidos, especialmente executáveis em %AppData%, %Temp% ou pastas com nomes semelhantes a serviços legítimos.
  • Conexões HTTPS frequentes para domínios não habituais imediatamente após o login do usuário.

D — Comandos úteis (Windows) — só para detecção, não para exploração

(Execute somente se souber o que faz; são comandos de detecção/grep.)

PowerShell rápido para procurar strings que pareçam tokens (busca em arquivos de texto na conta do usuário):

Get-ChildItem -Path $env:USERPROFILE -Recurse -ErrorAction SilentlyContinue -Include *.txt,*.log,*.config,*.json |

Select-String -Pattern '\d{6,}:[A-Za-z0-9_-]{20,}' -SimpleMatch

Procurar arquivos .zip grandes/modificados recentemente na pasta do usuário:

Get-ChildItem -Path $env:USERPROFILE -Recurse -Filter *.zip | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-7) } | Select FullName, Length, LastWriteTime

(Adaptar janelas de tempo conforme necessário.)

E — Bloqueios e mitigação em rede / perímetro

  • Bloquear/domínio/endpoint api.telegram.org apenas se aceitável para sua organização — atenção: isso bloqueia uso legítimo do Telegram.
  • Monitorar e alertar em IDS/Proxy para POSTs para api.telegram.org/bot vindos de endpoints de usuários.
  • Aplicar EDR que detecte leitura de arquivos de navegador e exfil via HTTPs anômalo.
Tags
Grupo Mugs

Postado por Grupo Mugs

Postar um comentário

0 Comentários