Logo TecMundo
Segurança

Raven Stealer rouba senhas, cookies e dados via Telegram

Nova ameaça que usa phishing e software pirata mira usuários do Chrome e Edge

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule23/09/2025, às 17:30

updateAtualizado em 23/09/2025, às 17:45

Uma nova campanha de malware, denominada Raven Stealer, foi identificada por investigadores da PointWild. 

Criminosos estão usando e-mails de phishing e softwares pirateados para roubar informações como senhas, cookies, históricos de busca e informações de pagamento. Os dados eram armazenados em pastas .zip e enviadas via chat-bot no Telegram - que conectava ao servidor C2 que levava todas as informações para os criminosos. A campanha visa navegadores baseados em Chromium, incluindo os mais famosos, como o Chrome e o Edge.

smart_display

Nossos vídeos em destaque

A PointWild, que conduziu a investigação, revelou que esta campanha usa um malware bem leve, desenvolvido nas linguagens de código Delphi e C++, conhecidas pela facilidade na criação de aplicações para desktop e pelo alto nível de controle de recursos e memória do sistema operacional. O Raven Stealer precisa de pouca interação com o usuário, mas mantém um comprometimento operacional de alto nível. Ou seja, o malware precisa de poucas ferramentas para fazer um grande estrago.

Como o Raven Stealer funciona?

Esta campanha chega via phishing - com e-mails fraudulentos se passando por empresas de software, ou por softwares piratas. O principal risco do Raven Stealer é que ele consegue burlar sistemas antivírus e transmitir os dados roubados de forma instantânea.

Leia Mais
Drone ucraniano acha 'armazém de antiguidades' durante missão
diagrama-campanha-raven stealer
Diagrama detalha os principais passos da campanha de malware. Crédito: Point Wild.

O malware varre o sistema em busca de navegadores Chromium e derivados, extrai senhas salvas, cookies, histórico, autofill, arquivos de pagamento, e às vezes tira screenshots. Cria arquivos como passwords.txt, cookies.txt, payment.txt.Todas as informações captadas são armazenadas em um zip criptografado, que é enviado via API do Telegram.

Depois disso, o Raven Stealer ainda pode tentar apagar rastros e renomear arquivos para confundir os antivírus.

Quais os principais riscos?

Com credenciais e cookies em mãos, o invasor não precisa nem da sua senha para entrar nas suas contas: ele simplesmente “assume” sessões ativas (session hijacking), acessando e-mails, redes sociais e painéis bancários como se fosse você. Além disso, quando o malware também coleta dados de pagamento e informações de autofill, abre-se a porta para fraudes diretas. Compras não autorizadas, adição de métodos de pagamento em contas, ou mesmo transferências em serviços que não exigem revalidação frequente são algumas das formas como o Raven Stealer pode agir.

Esses acessos podem ser usados para clonar perfis, pedir redefinições de senha usando e-mail comprometido ou montar golpes mais convincentes (por exemplo, enviar mensagens de phishing a contatos pessoais já confiáveis), ampliando o dano além da simples “perda de senha”.

Leia Mais
Malware Keenadu ataca celulares Android de brasileiros

No ambiente corporativo o estrago escala: uma única conta de e-mail ou credencial administrativa roubada permite movimentação lateral dentro da rede — o criminoso pivotar para servidores, acessar bases de dados sensíveis ou implantar mais malware em outros endpoints. 

As credenciais exfiltradas também viram mercadoria em mercados ilegais; atores distintos compram esses dados e realizam campanhas automatizadas de conta-takeover por credential stuffing, que explodem em volume e atingem pessoas e empresas em massa. 

Além do prejuízo financeiro direto, há risco legal (exposição de dados de clientes) e reputacional severo — e o problema se agrava porque builders facilitam a vida de invasores inexperientes, transformando o ataque em produto e permitindo campanhas amplas e repetidas com pouco esforço técnico.

Identificando vítimas do malware

No dia a dia, sinais sutis podem denunciar uma infecção: navegadores que deslogam sozinho, entradas de login que você não reconhece ou comportamentos estranhos ao usar sites são indicações de que alguém pode estar “tomando” suas sessões via cookies roubados. 

Leia Mais
IPTV falso infecta vítimas e esvazia contas bancárias

Arquivos e pastas incomuns em %Local% ou %AppData% (nomes genéricos como RavenStealer ou arquivos tipo cookies.txt, passwords.txt) também são pistas claras; da mesma forma, processos legítimos com uso anômalo de CPU/memória podem indicar injeção de código em memória. Fora isso, tráfego de rede para endpoints estranhos ou chamadas a APIs de bots (por exemplo, requisições a endpoints do Telegram vindas do seu dispositivo) é um sinal técnico de exfiltração em andamento.

Quando o problema é confirmado ou altamente suspeito, agir rápido reduz danos: desconectar a máquina da rede impede a exfiltração imediata; rodar um EDR/antivírus atualizado e, se possível, fazer análise off-line ajuda a identificar e remover o binário. Mudar senhas em um dispositivo limpo e revogar sessões ativas (opção “Sair de todos os dispositivos” nos serviços críticos) impede que o invasor use credenciais já comprometidas. 

Em ataques corporativos, atenção: uma credencial roubada pode permitir movimentação lateral e acesso a sistemas sensíveis, por isso investigar e isolar contas comprometidas é essencial para conter o impacto.


Como se proteger?

Algumas ações podem ajudar a manter-se imune da campanha. 

  • Desconecte imediatamente da rede qualquer máquina com sinais de infecção.
  • Rode EDR/antivírus atualizado; faça varredura completa e, se possível, análise offline com ferramentas especializadas.
  • Mude senhas críticas em um dispositivo limpo — não altere senhas a partir da máquina possivelmente comprometida;
  • Revogue sessões ativas em serviços importantes (e-mail, bancos, redes sociais, consoles de trabalho);
  • Ative MFA em todas as contas que suportam (aplicativo autenticador preferível a SMS).
  • Restaure o perfil do navegador ou reinstale o sistema se houver suspeita de comprometimento profundo (cookies/session hijack é difícil de limpar só com remoção de arquivos);
  • Evite instalar software pirata/cracks e desconfie de anexos e links desconhecidos; use fontes oficiais;
  • Use um gerenciador de senhas confiável e não salve senhas em navegadores sem critério; prefira senhas únicas por serviço;
  • Mantenha sistema operacional, navegador e plugins atualizados — exploits conhecidos são vetores comuns;
  • Monitore extratos bancários e logs de acesso; registre IOCs (hashes, nomes de arquivos, endpoints) e envie ao time de segurança ou comunidade de threat intel se for caso corporativo.

Perguntas Frequentes

O que é o Raven Stealer e como ele atua?
O Raven Stealer é um malware leve desenvolvido em Delphi e C++ que visa roubar dados sensíveis de navegadores baseados em Chromium, como Chrome e Edge. Ele chega ao sistema por meio de e-mails de phishing ou softwares piratas e coleta informações como senhas, cookies, histórico de navegação, dados de pagamento e até screenshots. Esses dados são compactados em arquivos .zip criptografados e enviados via API do Telegram para os criminosos.
Quais são os principais riscos de uma infecção pelo Raven Stealer?
O principal risco é o sequestro de sessões (session hijacking), que permite ao invasor acessar contas sem precisar da senha. Isso pode resultar em fraudes financeiras, clonagem de perfis, envio de phishing a contatos confiáveis e movimentação lateral em redes corporativas. Além disso, os dados roubados podem ser vendidos em mercados ilegais e usados em ataques automatizados de tomada de contas (credential stuffing).
Como o malware consegue burlar sistemas de segurança?
O Raven Stealer é projetado para ser leve e exigir pouca interação do usuário, o que dificulta sua detecção. Ele pode apagar rastros, renomear arquivos para confundir antivírus e transmitir dados de forma instantânea via Telegram, dificultando a interceptação por ferramentas tradicionais de segurança.
Quais sinais indicam que meu computador pode estar infectado?
Sinais incluem navegadores que deslogam sozinhos, logins desconhecidos, comportamento estranho em sites, arquivos suspeitos como passwords.txt ou cookies.txt em pastas como %Local% ou %AppData%, uso anômalo de CPU/memória por processos legítimos e tráfego de rede para endpoints desconhecidos, especialmente relacionados ao Telegram.
O que devo fazer se suspeitar de infecção pelo Raven Stealer?
Desconecte imediatamente o dispositivo da rede, rode um EDR ou antivírus atualizado, preferencialmente com análise offline, e mude senhas críticas a partir de um dispositivo limpo. Revogue sessões ativas em serviços importantes e, se necessário, restaure o perfil do navegador ou reinstale o sistema operacional.
Como posso me proteger contra o Raven Stealer?
Evite instalar softwares piratas ou abrir anexos e links desconhecidos. Use apenas fontes oficiais, ative autenticação multifator (MFA), utilize um gerenciador de senhas confiável, mantenha o sistema e navegadores atualizados e monitore extratos bancários e logs de acesso. Em ambientes corporativos, compartilhe indicadores de comprometimento (IOCs) com o time de segurança.
Por que o Telegram é usado na campanha do Raven Stealer?
O Telegram é utilizado como canal de exfiltração de dados por meio de sua API de bots. Isso permite que os criminosos enviem os arquivos roubados diretamente para um servidor C2 (comando e controle) de forma rápida e discreta, dificultando a detecção por sistemas de segurança convencionais.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 7 horas
Fone Bluetooth HUAWEI FreeClip 2
51% off

Compre já!

Fone Bluetooth HUAWEI FreeClip 2

R$ 643,00

Áudio amazon.com.brnew_releases
Controle DualSense, PS5
26% off

Imperdível!

Controle DualSense, PS5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
Smartphone POCO C85, 256GB
37% off

Cupom GANHOU50

Smartphone POCO C85, 256GB

R$ 994,76

Celulares magazineluiza.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA