Die neue Malware ,Raven Stealer´ greift Nutzer von Chromium-Browsern wie Chrome und Edge an und stiehlt Anmeldedaten und sensible Informationen. Laut Forschern verbreitet sie sich über Untergrundforen, manipulierte Software und Phishing-Mails und überträgt gestohlene Daten per Telegram. NordPass kommentiert.
Sobald Raven Stealer installiert ist, greift er auf lokale Speicherpfade und Anmeldeinformationen in Browsern zu, um Verschlüsselungsschlüssel zu finden. Er nutzt native Windows-API-Aufrufe, um gespeicherte Daten zu entschlüsseln und zu extrahieren. Das Hauptziel des Stealers sind browserbasierte Authentifizierungsdaten, einschließlich gespeicherter Passwörter und Sitzungscookies, aber er sammelt auch Autofill-Einträge, Zahlungsdaten, Browserverläufe und andere Datentypen. Nachdem er seine Arbeit getan hat, speichert er Textdateien in einem .zip-Ordner und sendet sie an den Telegram-Kanal des Angreifers.
Karolis Arbaciausias, Produktleiter bei NordPass, kommentiert:„Diese Malware ist besonders heimtückisch, da sie stillschweigend Daten angreift, bei denen die Benutzer davon ausgehen, dass sie verschlüsselt und sicher in ihrem Browser gespeichert sind. Raven Stealer ist speziell darauf ausgelegt, nach gespeicherten Anmeldeinformationen und Verschlüsselungsschlüsseln zu suchen, wodurch der Webtresor des Browsers ein primäres Ziel und eine Schwachstelle darstellt. Die einzigartige Datendiebstahl-Methode von Raven Stealer über Telegram macht die Erkennung schwierig. Das Senden von Informationen über verschlüsselte Messaging-Kanäle ermöglicht es der Malware, viele herkömmliche Sicherheitsfilter zu umgehen.” Darüber hinaus sei diese Malware auch in der Lage, Unternehmensnetzwerkfilter zu umgehen, so Arbaciausias weiter.
Empfehlungen für Nutzer
- Passwort-Manager statt Browser-Speicher nutzen
- Multi-Faktor-Authentifizierung aktivieren
- Keine gecrackte Software verwenden
- Vorsicht bei Links und Anhängen in E-Mails
- Software regelmäßig updaten
Empfehlungen für Unternehmen
- Zentrales Passwort- und Zugriffsmanagement
- Whitelisting und MFA verpflichtend machen
- Regelmäßige Cybersicherheitsschulungen
- Schnelles Patch-Management
- Netzwerksegmentierung und Prinzip der geringsten Privilegien
- Data-Loss-Prevention einsetzen
- Back-ups sicher offline speichern
- Notfallpläne bereithalten
Besonders riskant ist Raven Stealer in hybriden IT/OT-Umgebungen, wo Mitarbeiter-Browser Zugangsdaten für Produktionssysteme, Fernwartung oder Cloud-Services enthalten. Für Unternehmen in der Fertigung gilt daher: Browser nicht als Passwort-Speicher nutzen, MFA für kritische Systeme aktivieren und verdächtigen Traffic (z.B. zu Telegram) überwachen.
Quelle: computer & automation
