De dreigingsacteurs die bekend staan als gouden kippen zijn toegeschreven aan twee nieuwe malwarefamilies genaamd Terrastealerv2 en Terralogger, wat suggereert dat voortdurende ontwikkelingsinspanningen om hun arsenaal te verfijnen en te diversifiëren.
“TerrasteAlerv2 is ontworpen om browserreferenties, cryptocurrency -portemonnee -gegevens en browserverlengingsinformatie te verzamelen,” zei de toekomstige Insikt Group. “Terralogger is daarentegen een zelfstandige keylogger. Het gebruikt een gemeenschappelijke toetsenbordhaak op laag niveau om toetsaanslagen te opnemen en schrijft de logboeken naar lokale bestanden.”
Gouden kippen, ook bekend als Venom Spider, is de naam gegeven aan een financieel gemotiveerde dreigingsacteur gekoppeld aan een beruchte malwarefamilie genaamd More_Eggs. Het staat bekend als actief sinds minstens 2018 en biedt zijn warez onder een malware-as-a-service (MAAS) -model.
Vanaf 2023 is Golden Chickens toegeschreven aan een online persona die bekend staat als Badbullzvenom, een account waarvan wordt aangenomen dat deze gezamenlijk wordt geëxploiteerd door personen uit Canada en Roemenië. Sommige van de andere kwaadaardige tools ontwikkeld door de e-crime-groep zijn meer_eggs lite (Oka lite_more_eggs), Venomlnk, Terraloader en Terracrypt.
Eind vorig jaar, ZScaler Threatlabz gedetailleerde nieuwe gouden kippen-gerelateerde activiteit met een achterdeur genaamd revc2 en een lader aangeduid als Venom Loader, die beide worden geleverd via een Venomlnk.
De nieuwste bevindingen uit de opgenomen toekomst laten zien dat de dreigingsacteurs aan hun aanbod blijven werken en een bijgewerkte versie van hun Stealer -malware vrijgeven die in staat is om gegevens van browsers, cryptocurrency -portefeuilles en browservertensies te oogsten.
TerrasteAlerv2 is gedistribueerd via verschillende formaten, zoals uitvoerbare bestanden (EXES), Dynamic-Link Libraries (DLL’s), Windows Installer Packages (MSI) en Sortcut (LNK) -bestanden.
In al deze gevallen wordt de payload van de Stealer geleverd in de vorm van een OCX (kort voor Microsoft’s Ole Control Extension) Payload die wordt opgehaald uit een extern domein (“Wetransfers (.) IO”).
“Hoewel het zich richt op de Chrome ‘Login Data’ -database om referenties te stelen, omzeilt het geen applicatie -gebonden codering (ABE) -beschermingen die na juli 2024 in Chrome -updates worden geïntroduceerd, wat aangeeft dat de malwarecode verouderd is of nog steeds in ontwikkeling is,” zei het Cybersecurity Company.
De gegevens die worden vastgelegd door TerrasteAlerv2 worden geëxfiltreerd naar zowel Telegram als het domein “Wetransfers (.) IO.” Het maakt ook gebruik van vertrouwde Windows -hulpprogramma’s, zoals regsvr32.exe en mshta.exe, om detectie te ontwijken.
Terralogger, ook gepropageerd als een OCX -bestand, is ontworpen om toetsaanslagen op te nemen. Het omvat echter geen functionaliteit voor gegevens-exfiltratie of command-and-control (C2) -communicatie, wat suggereert dat het in vroege ontwikkeling is of bedoeld is om te worden gebruikt in combinatie met een ander malwaregedeelte van het Golden Chickens MAAS-ecosysteem.
“De huidige staat van TerrasteAlerv2 en Terralogger suggereert dat beide tools onder actieve ontwikkeling blijven en nog niet het stealth -niveau vertonen dat meestal wordt geassocieerd met volwassen Golden Chickens Tooling,” zei Future.
“Gezien de geschiedenis van Golden Chickens van het ontwikkelen van malware voor diefstal van referenties en toegangsbewerkingen, zullen deze mogelijkheden waarschijnlijk blijven evolueren.”
De openbaarmaking komt te midden van de opkomst van nieuwe Stealer -malwarefamilies zoals Hannibal Stealer, Gremlin Stealer en Nullpoint Stealer die zijn ontworpen om een breed scala aan gevoelige informatie van zijn slachtoffers te exfiltreren.
Het volgt ook de ontdekking van een bijgewerkte versie van de Stealc-malware met ondersteuning voor gestroomlijnde command-and-control (C2) communicatieprotocol en de toevoeging van RC4-codering.
“De payload -leveringsopties van de malware zijn uitgebreid met Microsoft Software Installer (MSI) -pakketten en PowerShell -scripts,” zei Zscaler ThreatLabz in een rapport dat vorige week werd gepubliceerd.
“Een opnieuw ontworpen bedieningspaneel biedt een geïntegreerde bouwer waarmee bedreigingsactoren de leverregels voor payload kunnen aanpassen op basis van geolocatie, hardware-ID’s (HWID) en geïnstalleerde software. Extra functies zijn onder meer multi-monitor screenshot capture, een uniforme bestandsgreep en serverzijdige brute-forcing voor referenties.”
De nieuwe 2.2.4. Versie (aka Stealc v2), geïntroduceerd in maart 2025, is waargenomen dat wordt gedistribueerd via een andere malware -lader genaamd Amadey. Het bedieningspaneel ondersteunt ook de integratie van Telegram Bot voor het verzenden van meldingen en maakt het mogelijk om berichtindelingen aan te passen.
“STEALC V2 introduceert verbeteringen, zoals verbeterde lading -levering, een gestroomlijnd communicatieprotocol met codering en een opnieuw ontworpen bedieningspaneel dat meer gerichte informatie -verzameling biedt,” zei ZScaler.
