Un nouveau logiciel malveillant baptisé Raven Stealer s'attaque aux utilisateurs de Google Chrome et d'autres navigateurs basés sur Chromium.
Le malware a été conçu avec une architecture modulaire lui permettant de passer outre les scan d'antivirus et les analyses du réseau.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Comment Raven Stealer infecte votre PC
Raven Stealer utilise une méthode d'injection de processus particulièrement efficace pour échapper à la détection. D'une part, le code malveillant principal est stocké sous forme de bibliothèque dynamique (DLL) directement à l'intérieur du fichier exécutable. Cette DLL contient toute la chaine logique pour organiser le vol de données. Mais puisqu'elle est chiffrée avec l'algorithme ChaCha20, elle reste invisible. Par ailleurs, ce fichier malveillant n'est jamais écrit sur le disque dur de la victime. Il reste crypté à l'intérieur de l'exécutable principal et n'est déchiffré qu'en mémoire vive lors de l'exécution. De cette manière, le malware échappe à la détection par les antivirus qui analysent principalement les fichiers stockés sur disque.
Le processus d'infection débute par la création d'une nouvelle instance du navigateur Chromium en état suspendu. Cette technique, appelée "process suspension", consiste à lancer un programme légitime, mais à l'arrêter immédiatement avant qu'il ne commence son exécution normale. La DLL déchiffrée est ensuite injectée dans ce processus suspendu grâce à une technique appelée "reflective process hollowing". Cette méthode remplace le code légitime du processus par le code malveillant, tout en conservant l'apparence d'un programme authentique pour le système Windows.
Les analystes de Point Wild expliquent que Raven Stealer pèse 7 Mo et utilise le format PE (Portable Executable). Ce format permet à Windows d'organiser les données des fichiers exécutables, des DLL et des pilotes. Il définit la manière dont Windows doit charger et exécuter le programme en mémoire. C'est bien évidemment à ce niveau que nous retrouvons le code malveillant.
Comment Raven Stealer récupère vos données
Une fois actif sur le système, Raven Stealer cible spécifiquement les navigateurs basés sur Chromium (Chrome, Edge, Opera, Brave...) Le malware accède aux chemins de stockage locaux et aux coffres-forts d'authentification pour extraire les mots de passe sauvegardés, les cookies de session et les informations de cartes de paiement. Ces données sont stockées dans des bases de données SQLite spécifiques à chaque navigateur, situées dans le profil utilisateur.
Pour protéger ces données, le navigateur génère une clé de chiffrement AES unique qu'il sauvegarde dans le fichier "Local State". C'est donc là que se rend Raven Stealer. Soulignons que cette clé est elle-même protégée par l'API de protection des données de Windows (DPAPI). Mais puisque le navigateur est ouvert en mode suspendu, il a déjà déverrouillé l'accès avec les informations de connexion de l'utilisateur.
Le malware génère ensuite trois fichiers : "cookies.txt" contenant les cookies de navigation permettant le détournement de sessions, "passwords.txt" regroupant les identifiants et mots de passe déchiffrés avec leurs URL associées, et "payment.txt" stockant les détails de cartes bancaires incluant les numéros, dates d'expiration et codes de sécurité.
L'exfiltration des données s'effectue via l'API Telegram, ce qui permet de contourner les filtres de sécurité. En effet, Telegram utilise un protocole de communication chiffré de bout en bout ; difficile alors, pour une solution de détection réseau, de procéder à la moindre analyse. Toutes les informations collectées sont compressées dans une archive ZIP puis transmises à l'attaquant sur la messagerie.
Alors, comment s'en protéger au mieux ? On conseille généralement d'éviter de stocker les informations confidentielles et sensibles dans le navigateur. Les gestionnaires de mots de passe sécurisés sont capables de stocker également les informations de paiement et ne sont pas tributaires des failles du navigateur ou du système. En activant l'authentification à deux facteurs pour vos comptes Internet, vos informations de connexions sont encore mieux protégée. Et bien sûr… ce n'est jamais une bonne idée de télécharger des logiciels piratés, cracks, ou des pièces jointes provenant d’e-mails non sollicités.
