TerraStealerV2 és TerraLogger malware-ek
Az Insikt Group két új malware-családot azonosított, a TerraStealerV2-t és TerraLogger-t, amelyek a Golden Chickens (más néven Venom Spider) nevű, pénzügyi motivációjú kiberszereplőhöz kapcsolódnak. A Golden Chickens arról ismert, hogy Malware-as-a-Service (MaaS) platformot üzemeltet, amelyet olyan kiberbűnözői csoportok használnak, mint a FIN 6, a Cobalt Group és az Evilnum. A 2025 január és április között megfigyelt új malware családok folyamatos fejlesztésre utalnak, amelynek célja a hitelesítő adatok ellopása és a keylogging.
A TerraStealerV2 a böngésző hitelesítő adatainak, kripto-pénztárca adatainak és böngészőbővítmény információknak a begyűjtésére szolgál. Bár a Chrome „Login Data” adatbázisát veszi célba a hitelesítő adatok ellopásához, nem kerüli meg a 2024 júliusa után a Chrome frissítésekben bevezetett Application Bound Encryption (ABE) védelmet, ami arra utal, hogy a kártevő kódja elavult vagy még fejlesztés alatt áll. Az adatok a Telegramra és a wetransfers[.]io domainre exfiltrálódnak. Megfigyelték, hogy a TerraStealerV2 többféle formátumban, többek között LNK, MSI, DLL és EXE fájlokon keresztül terjed, és megbízható Windows segédprogramokat, például a regsvr32.exe és az mshta.exe programokat használja a felismerés elkerülésére.
A TerraLogger ezzel szemben egy önálló keylogger. A billentyűleütések rögzítéséhez egy általános, alacsony szintű billentyűzet hook-ot használ, és a naplófájlokat helyi fájlba írja. Nem tartalmaz azonban adatszivárgási vagy C2 kommunikációs funkciókat, ami azt jelzi, hogy vagy a fejlesztés korai szakaszában van vagy a Golden Chickens MaaS ökoszisztéma moduláris részének szánják.
A Golden Chickens MaaS ökoszisztéma központi elemei a VenomLNK és a TerraLoader. A kezdeti fertőzéseket jellemzően a VenomLNK, egy rosszindulatú Windows parancsfájl segítségével érik el, amely a TerraLoader-t, a további malware-ek telepítéséért felelős betöltő modult hajtja végre. Ezek közé tartozik a TerraStealer a hitelesítő adatok begyűjtéséhez, a TerraTV a TeamViewer eltérítéséhez és a TerraCrypt a ransomware-ek telepítéséhez. A Golden Chickens ökoszisztémának tulajdonított további malware-családok közé tartozik a TerraRecon a felderítéshez, a TerraWiper az adatok törléséhez és a lite_more_eggs is.
A TerraStealerV2 és a TerraLogger jelenlegi állapota azt sugallja, hogy mindkét eszköz aktív fejlesztés alatt áll, és még nem rendelkezik az érett Golden Chickens eszközökre jellemző lopakodási szinttel. Tekintettel arra, hogy a Golden Chickens korábban már fejlesztett rosszindulatú szoftvereket a hitelesítő adatok ellopására és hozzáférési műveletekre, ezek a malware-ek valószínűleg tovább fognak fejlődni.
