Hakerska grupa poznata kao Golden Chickens, poznata i pod imenom Venom Spider, razvila je dvije nove porodice malvera – TerraStealerV2 i TerraLogger, u nastavku svog trenda diversifikacije i usavršavanja alata unutar modela “malware-as-a-service” (MaaS).
Ključne karakteristike:
- TerraStealerV2:
- Krađa kredencijala iz web browser, podataka iz kripto novčanika i informacija iz browser ekstenzija
- Cilja Chrome ‘Login Data’ bazu, ali ne zaobilazi Chromeovu Application Bound Encryption (ABE) zaštitu uvedenu sredinom 2024.
- Malver se širi putem različitih formata: .exe, .dll, .msi, .lnk, a sam stealer se isporučuje kao OCX (OLE Control Extension) fajl.
- Podaci se eksfiltriraju ka:
- Telegram kanalima
- Domenu wetransfers[.]io
- Koristi Windows alate kao što su regsvr32.exe i mshta.exe za prikrivanje aktivnosti.
- TerraLogger:
- Klasičan keylogger koji koristi low-level keyboard hook za snimanje unosa s tastature.
- Ne uključuje komunikaciju sa C2 serverom niti izvoz podataka, što sugeriše ranu fazu razvoja ili upotrebu u kombinaciji s drugim komponentama.
Kontekst prijetnje:
Golden Chickens, aktivni barem od 2018. godine, poznati su po More_eggs malveru i drugim alatima kao što su:
- VenomLNK (prečica koja učitava druge malvere)
- TerraLoader, TerraCrypt
- Nedavno su otkriveni i alati RevC2 (backdoor) i Venom Loader
Ove nove varijante potvrđuju da grupa nastavlja sa radom na alatima koji ciljaju pristupne podatke i korisničke naloge, posebno s fokusom na finansijsku dobit.
Širi trend:
Otkriće TerraStealera dolazi u trenutku kada su se pojavili i drugi novi stealer malveri:
- Hannibal Stealer
- Gremlin Stealer
- Nullpoint Stealer
- StealC V2: Novi napredni stealer s:
- RC4 enkripcijom
- Podrškom za MSI instalere i PowerShell skripte
- Geolokacijski ciljanim napadima
- Višemonitorskim screenshotovima, brute-force funkcionalnostima, i integracijom s Telegram botovima
Zaključak:
Iako TerraStealerV2 i TerraLogger još uvijek nemaju potpunu funkcionalnost i sofisticiranost, razvoj je aktivan i sugeriše intenzivne pripreme za šire kampanje. Golden Chickens ostaje ozbiljna prijetnja, posebno u kontekstu krađe podataka i finansijskih napada.
Izvor:The Hacker News
