Nueva actividad relacionada con Raven Stealer

• Publicado: 20/09/2025
• Importancia: Media

---

Recursos afectados

Raven es un stealer que descifra datos protegidos del navegador usando la clave AES almacenada en el archivo Local State, exfiltrando credenciales y cookies extraídas de bases de datos como Login Data. La información se organiza en archivos de texto sin cifrar dentro de %Local%\RavenStealer para facilitar su posterior envío. Para la exfiltración, el malware empaqueta los artefactos en un ZIP y los transmite al actor mediante la API de Telegram, aprovechando un canal legítimo y cifrado. Además, emplea técnicas de sigilo para dificultar su detección y la creación de firmas estáticas.

 

Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

 

Etiquetas

• Raven Stealer
• Stealer
• Exfiltración de Datos
• Cookies
• Contraseñas
• API de Telegram
• Comando y Control (C2).