Golden Chickens lansiraju TerraStealerV2 za krađu kredencijala i podataka iz kripto novčanika

Hakerska grupa poznata kao Golden Chickens, poznata i pod imenom Venom Spider, razvila je dvije nove porodice malvera – TerraStealerV2 i TerraLogger, u nastavku svog trenda diversifikacije i usavršavanja alata unutar modela “malware-as-a-service” (MaaS).

Ključne karakteristike:

• TerraStealerV2:
  • Krađa kredencijala iz web browser, podataka iz kripto novčanika i informacija iz browser ekstenzija
  • Cilja Chrome ‘Login Data’ bazu, ali ne zaobilazi Chromeovu Application Bound Encryption (ABE) zaštitu uvedenu sredinom 2024.
  • Malver se širi putem različitih formata: .exe, .dll, .msi, .lnk, a sam stealer se isporučuje kao OCX (OLE Control Extension) fajl.
  • Podaci se eksfiltriraju ka:
    • Telegram kanalima
    • Domenu wetransfers[.]io
  • Koristi Windows alate kao što su regsvr32.exe i mshta.exe za prikrivanje aktivnosti.
• TerraLogger:
  • Klasičan keylogger koji koristi low-level keyboard hook za snimanje unosa s tastature.
  • Ne uključuje komunikaciju sa C2 serverom niti izvoz podataka, što sugeriše ranu fazu razvoja ili upotrebu u kombinaciji s drugim komponentama.

Kontekst prijetnje:

Golden Chickens, aktivni barem od 2018. godine, poznati su po More_eggs malveru i drugim alatima kao što su:

• VenomLNK (prečica koja učitava druge malvere)
• TerraLoader, TerraCrypt
• Nedavno su otkriveni i alati RevC2 (backdoor) i Venom Loader

Ove nove varijante potvrđuju da grupa nastavlja sa radom na alatima koji ciljaju pristupne podatke i korisničke naloge, posebno s fokusom na finansijsku dobit.

Širi trend:

Otkriće TerraStealera dolazi u trenutku kada su se pojavili i drugi novi stealer malveri:

• Hannibal Stealer
• Gremlin Stealer
• Nullpoint Stealer
• StealC V2: Novi napredni stealer s:
  • RC4 enkripcijom
  • Podrškom za MSI instalere i PowerShell skripte
  • Geolokacijski ciljanim napadima
  • Višemonitorskim screenshotovima, brute-force funkcionalnostima, i integracijom s Telegram botovima

Zaključak:

Iako TerraStealerV2 i TerraLogger još uvijek nemaju potpunu funkcionalnost i sofisticiranost, razvoj je aktivan i sugeriše intenzivne pripreme za šire kampanje. Golden Chickens ostaje ozbiljna prijetnja, posebno u kontekstu krađe podataka i finansijskih napada.

Izvor:The Hacker News