Киберпреступная группировка Golden Chickens, также известная как Venom Spider, активная с 2018 года, расширила свой арсенал вредоносного программного обеспечения, добавив два новых опасных инструмента: TerraStealerV2 и TerraLogger. Эта организация, работающая по модели Malware-as-a-Service (MaaS), связана с онлайн-персоной "badbullzvenom", предположительно управляемой лицами из Канады и Румынии по данным 2023 года.
TerraStealerV2 представляет собой комплексное вредоносное ПО, специализирующееся на краже учетных данных браузера, информации о криптовалютных кошельках и данных браузерных расширений. Распространяется в различных форматах, включая исполняемые файлы EXE, библиотеки DLL, пакеты MSI и LNK-файлы. Механизм доставки включает загрузку OCX-полезной нагрузки с ресурса "wetransfers[.]io", а похищенные данные отправляются как в Telegram, так и на тот же домен.
Для обхода систем безопасности TerraStealerV2 использует доверенные утилиты Windows, такие как regsvr32.exe и mshta.exe. Однако у него есть существенное ограничение — неспособность обойти технологию Application Bound Encryption (ABE), внедренную в Chrome после июля 2024 года.
Второй новый инструмент, TerraLogger, функционирует как автономный кейлоггер. Он использует низкоуровневые хуки клавиатуры для записи нажатий клавиш, сохраняя логи в локальных файлах. Распространяется в виде OCX-файла, но, в отличие от TerraStealerV2, лишен возможностей экспорта данных и коммуникации с командными центрами.
Эти новые вредоносные программы дополняют уже существующий арсенал Golden Chickens, включающий More_eggs, More_eggs lite (также известный как lite_more_eggs), VenomLNK, TerraLoader, TerraCrypt, бэкдор RevC2 и Venom Loader.
На фоне активности Golden Chickens наблюдается рост и других похитителей данных. Среди них — Hannibal Stealer, Gremlin Stealer, Nullpoint Stealer и StealC V2 (версия 2.2.4, представленная в марте 2025 года). Последний распространяется через загрузчик Amadey и отличается улучшенной доставкой полезной нагрузки, оптимизированным коммуникационным протоколом с шифрованием, обновленной панелью управления, поддержкой интеграции с ботами Telegram и возможностью настройки форматов сообщений.
Аналитики отмечают, что TerraStealerV2 и TerraLogger находятся в процессе активной разработки. На данный момент они не достигли уровня сложности более зрелых инструментов Golden Chickens, однако, учитывая историю группы, эксперты прогнозируют дальнейшую эволюцию этих вредоносных программ и расширение их функциональности.
Ситуация требует повышенного внимания к кибербезопасности, особенно для пользователей криптовалютных кошельков и тех, кто хранит важные учетные данные в браузерах. Регулярное обновление браузеров, использование двухфакторной аутентификации и специализированных решений для защиты от кейлоггеров становится необходимостью в условиях постоянно эволюционирующих киберугроз.
Изображение носит иллюстративный характер
TerraStealerV2 представляет собой комплексное вредоносное ПО, специализирующееся на краже учетных данных браузера, информации о криптовалютных кошельках и данных браузерных расширений. Распространяется в различных форматах, включая исполняемые файлы EXE, библиотеки DLL, пакеты MSI и LNK-файлы. Механизм доставки включает загрузку OCX-полезной нагрузки с ресурса "wetransfers[.]io", а похищенные данные отправляются как в Telegram, так и на тот же домен.
Для обхода систем безопасности TerraStealerV2 использует доверенные утилиты Windows, такие как regsvr32.exe и mshta.exe. Однако у него есть существенное ограничение — неспособность обойти технологию Application Bound Encryption (ABE), внедренную в Chrome после июля 2024 года.
Второй новый инструмент, TerraLogger, функционирует как автономный кейлоггер. Он использует низкоуровневые хуки клавиатуры для записи нажатий клавиш, сохраняя логи в локальных файлах. Распространяется в виде OCX-файла, но, в отличие от TerraStealerV2, лишен возможностей экспорта данных и коммуникации с командными центрами.
Эти новые вредоносные программы дополняют уже существующий арсенал Golden Chickens, включающий More_eggs, More_eggs lite (также известный как lite_more_eggs), VenomLNK, TerraLoader, TerraCrypt, бэкдор RevC2 и Venom Loader.
На фоне активности Golden Chickens наблюдается рост и других похитителей данных. Среди них — Hannibal Stealer, Gremlin Stealer, Nullpoint Stealer и StealC V2 (версия 2.2.4, представленная в марте 2025 года). Последний распространяется через загрузчик Amadey и отличается улучшенной доставкой полезной нагрузки, оптимизированным коммуникационным протоколом с шифрованием, обновленной панелью управления, поддержкой интеграции с ботами Telegram и возможностью настройки форматов сообщений.
Аналитики отмечают, что TerraStealerV2 и TerraLogger находятся в процессе активной разработки. На данный момент они не достигли уровня сложности более зрелых инструментов Golden Chickens, однако, учитывая историю группы, эксперты прогнозируют дальнейшую эволюцию этих вредоносных программ и расширение их функциональности.
Ситуация требует повышенного внимания к кибербезопасности, особенно для пользователей криптовалютных кошельков и тех, кто хранит важные учетные данные в браузерах. Регулярное обновление браузеров, использование двухфакторной аутентификации и специализированных решений для защиты от кейлоггеров становится необходимостью в условиях постоянно эволюционирующих киберугроз.
