Как TerraStealerV2 похищает ваши пароли и данные криптокошельков?

Киберпреступная группировка Golden Chickens, также известная как Venom Spider, активная с 2018 года, расширила свой арсенал вредоносного программного обеспечения, добавив два новых опасных инструмента: TerraStealerV2 и TerraLogger. Эта организация, работающая по модели Malware-as-a-Service (MaaS), связана с онлайн-персоной "badbullzvenom", предположительно управляемой лицами из Канады и Румынии по данным 2023 года.
Как TerraStealerV2 похищает ваши пароли и данные криптокошельков?
Изображение носит иллюстративный характер

TerraStealerV2 представляет собой комплексное вредоносное ПО, специализирующееся на краже учетных данных браузера, информации о криптовалютных кошельках и данных браузерных расширений. Распространяется в различных форматах, включая исполняемые файлы EXE, библиотеки DLL, пакеты MSI и LNK-файлы. Механизм доставки включает загрузку OCX-полезной нагрузки с ресурса "wetransfers[.]io", а похищенные данные отправляются как в Telegram, так и на тот же домен.

Для обхода систем безопасности TerraStealerV2 использует доверенные утилиты Windows, такие как regsvr32.exe и mshta.exe. Однако у него есть существенное ограничение — неспособность обойти технологию Application Bound Encryption (ABE), внедренную в Chrome после июля 2024 года.

Второй новый инструмент, TerraLogger, функционирует как автономный кейлоггер. Он использует низкоуровневые хуки клавиатуры для записи нажатий клавиш, сохраняя логи в локальных файлах. Распространяется в виде OCX-файла, но, в отличие от TerraStealerV2, лишен возможностей экспорта данных и коммуникации с командными центрами.

Эти новые вредоносные программы дополняют уже существующий арсенал Golden Chickens, включающий More_eggs, More_eggs lite (также известный как lite_more_eggs), VenomLNK, TerraLoader, TerraCrypt, бэкдор RevC2 и Venom Loader.

На фоне активности Golden Chickens наблюдается рост и других похитителей данных. Среди них — Hannibal Stealer, Gremlin Stealer, Nullpoint Stealer и StealC V2 (версия 2.2.4, представленная в марте 2025 года). Последний распространяется через загрузчик Amadey и отличается улучшенной доставкой полезной нагрузки, оптимизированным коммуникационным протоколом с шифрованием, обновленной панелью управления, поддержкой интеграции с ботами Telegram и возможностью настройки форматов сообщений.

Аналитики отмечают, что TerraStealerV2 и TerraLogger находятся в процессе активной разработки. На данный момент они не достигли уровня сложности более зрелых инструментов Golden Chickens, однако, учитывая историю группы, эксперты прогнозируют дальнейшую эволюцию этих вредоносных программ и расширение их функциональности.

Ситуация требует повышенного внимания к кибербезопасности, особенно для пользователей криптовалютных кошельков и тех, кто хранит важные учетные данные в браузерах. Регулярное обновление браузеров, использование двухфакторной аутентификации и специализированных решений для защиты от кейлоггеров становится необходимостью в условиях постоянно эволюционирующих киберугроз.


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка