Tháng 7/2025, các chuyên gia an ninh mạng đã cảnh báo về Raven Stealer - một loại phần mềm độc hại (malware) mới chuyên đánh cắp thông tin cá nhân. Khác với những chiến dịch phức tạp trước đây, Raven Stealer đơn giản nhưng nguy hiểm, được phát tán công khai trên GitHub và điều khiển qua Telegram. Với giao diện dễ dùng và tính năng tự động cao, phần mềm này đang làm dấy lên lo ngại về làn sóng mã độc-as-a-service (MaaS) dành cho cả hacker "tay mơ".
Raven Stealer được phát triển bởi nhóm hacker ZeroTrace Team, vốn nổi tiếng trong cộng đồng ngầm với nhiều công cụ đánh cắp dữ liệu như Octalyn Stealer. Nhóm này vận hành một kênh Telegram riêng, nơi cung cấp, hướng dẫn và quảng bá mã độc công khai.
Raven là một infostealer - phần mềm đánh cắp thông tin. Nó chủ yếu nhắm vào người dùng Windows, thu thập dữ liệu từ trình duyệt Chrome, Edge, Brave, ví tiền điện tử, mật khẩu đã lưu, cookie, thông tin thanh toán và cả ảnh chụp màn hình.
Điều đặc biệt là Raven không cần server điều khiển riêng (C2). Toàn bộ dữ liệu bị đánh cắp sẽ được nén lại rồi gửi trực tiếp lên Telegram bằng tài khoản bot của kẻ tấn công.
Người dùng có thể bị nhiễm khi tải về công cụ hoặc phần mềm miễn phí từ GitHub hoặc các trang chia sẻ không chính thống. Các bản build của Raven còn có thể được tuỳ chỉnh dễ dàng qua giao diện đồ hoạ, khiến việc phát tán càng trở nên đơn giản.
Raven hoạt động như thế nào?
Nguy hiểm hơn, Raven hoạt động hoàn toàn trong bộ nhớ RAM, khiến nhiều phần mềm bảo mật truyền thống khó phát hiện. Với khả năng lấy cắp ví tiền số, mật khẩu ngân hàng và thông tin đăng nhập, Raven là mối đe dọa trực tiếp với cá nhân, doanh nghiệp nhỏ và cả tổ chức lớn.
Raven Stealer là lời nhắc nhở rõ ràng về rủi ro khi tải phần mềm từ nguồn không đáng tin cậy. Để tự bảo vệ mình:
Raven Stealer được phát triển bởi nhóm hacker ZeroTrace Team, vốn nổi tiếng trong cộng đồng ngầm với nhiều công cụ đánh cắp dữ liệu như Octalyn Stealer. Nhóm này vận hành một kênh Telegram riêng, nơi cung cấp, hướng dẫn và quảng bá mã độc công khai.
Raven là một infostealer - phần mềm đánh cắp thông tin. Nó chủ yếu nhắm vào người dùng Windows, thu thập dữ liệu từ trình duyệt Chrome, Edge, Brave, ví tiền điện tử, mật khẩu đã lưu, cookie, thông tin thanh toán và cả ảnh chụp màn hình.
Người dùng có thể bị nhiễm khi tải về công cụ hoặc phần mềm miễn phí từ GitHub hoặc các trang chia sẻ không chính thống. Các bản build của Raven còn có thể được tuỳ chỉnh dễ dàng qua giao diện đồ hoạ, khiến việc phát tán càng trở nên đơn giản.
Raven hoạt động như thế nào?
- Ẩn mình hoàn toàn: Khi chạy, Raven không hiển thị giao diện, không hiện trong thanh tác vụ và khó bị phát hiện qua thao tác thông thường.
- Tiêm mã độc vào trình duyệt: Raven mở một phiên bản trình duyệt ẩn (headless Chrome), sau đó tiêm mã độc trực tiếp vào bộ nhớ bằng kỹ thuật "process hollowing".
- Thu thập và nén dữ liệu: Dữ liệu được tập hợp trong thư mục ẩn trong AppData, sau đó nén ZIP và gửi qua Telegram.
- Tránh bị phát hiện: Các tệp đều được mã hóa bằng ChaCha20, ký số bằng chứng chỉ giả và nén bằng UPX nhằm qua mặt phần mềm chống virus cơ bản.
Raven Stealer là lời nhắc nhở rõ ràng về rủi ro khi tải phần mềm từ nguồn không đáng tin cậy. Để tự bảo vệ mình:
- Chỉ tải phần mềm từ trang chính thức hoặc kho ứng dụng đáng tin.
- Không nhấp vào link từ GitHub/Telegram nếu không xác minh được nguồn.
- Luôn dùng phần mềm chống virus đã cập nhật, có tính năng phát hiện dựa trên hành vi.
- Đổi mật khẩu định kỳ và bật xác thực 2 yếu tố với tài khoản quan trọng.
- Theo dõi hoạt động mạng bất thường, như kết nối đến Telegram hoặc hành vi nén/chuyển file tự động.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
