Новые семейства вредоносного ПО: угроза от Golden Chickens
Недавний отчет информационно-аналитической компании Insikt Group привлекает внимание к двум новым семействам вредоносных программ — TerraStealerV2 и TerraLogger. Эти угрозы связаны с финансово мотивированным хакером, известным как Golden Chickens или Venom Spider. Группа активно развивает платформу «Вредоносное ПО как услуга» (MaaS), которая уже помогла осуществить атаки на различные киберпреступные организации, такие как FIN6 и Cobalt Group.
Анализ семейств вредоносных программ
Семейства вредоносного ПО TerraStealerV2 и TerraLogger были обнаружены в период с января по апрель 2025 года и нацелены на кражу учетных данных и кейлоггинг. Вот некоторые ключевые характеристики:
- TerraStealerV2: разработан для извлечения учетных данных браузера, данных криптовалютных кошельков и информации из расширений браузеров.
- TerraLogger: это автономный кейлоггер, который использует низкоуровневую клавиатурную программу для захвата нажатий клавиш.
Методы работы TerraStealerV2
TerraStealerV2 нацеливается на базу данных Google Chrome «Регистрационные данные» для сбора учетных данных. Важно отметить, что эта вредоносная программа не обходит защиту от шифрования с привязкой к приложениям (ABE), внедренную в Chrome после июля 2024 года. Такие особенности говорят о том, что;
- программа может считаться устаревшей;
- она все еще находится на стадии разработки.
Канал передачи данных
Передача украденных данных осуществляется через Telegram и домен, зарегистрированный как wetransfers.io. Распространение TerraStealerV2 происходит с использованием различных типов файлов, включая:
- LNK
- MSI
- DLL
- EXE
Эти файлы часто маскируются под законные процессы Windows, такие как regsvr32.exe, что делает их трудными для обнаружения.
Модульная архитектура TerraLogger
TerraLogger, в свою очередь, не имеет команд для фильтрации данных, что предполагает, что он находится на ранней стадии разработки или был спроектирован для интеграции в экосистему Golden Chickens. Основные возможности Golden Chickens включают:
- TerraTV — для перехвата сеансов TeamViewer;
- TerraCrypt — для развёртывания программ-вымогателей.
Потенциальные угрозы и рекомендации
Методология атак часто начинается с запуска вредоносных файлов быстрого доступа к Windows (VenomLNK), что позволяет загружать вредоносные модули. Разработчик Golden Chickens демонстрирует значительный прогресс, переходя от простого взаимодействия на форумах к созданию сложной платформы MaaS. Анализ показал, что TerraStealerV2 использует встроенные методы обфускации и HTTP-запросы для определения IP-адреса жертвы.
С учетом накопленного опыта рекомендуется организациям соблюдать предложенные в отчете рекомендации для смягчения последствий. Учитывая активное развитие этих инструментов, их возможности могут значительно улучшиться, что повышает вероятность новых киберинцидентов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
