Gli attori della minaccia noti come polli d’oro sono stati attribuiti a due nuove famiglie di malware soprannominate Terrastealerv2 e Terrogger, suggerendo continui sforzi di sviluppo per perfezionare e diversificare il loro arsenale.
“Terrastealerv2 è progettato per raccogliere credenziali del browser, dati sul portafoglio di criptovaluta e informazioni sull’estensione del browser”, ha registrato Future Insikt Group disse. “Terrologger, al contrario, è un keylogger autonomo. Utilizza un gancio di tastiera di basso livello comune per registrare i tasti e scrivere i registri su file locali.”
Golden polli, noto anche come Venom Spider, è il nome dato a un attore di minaccia motivato finanziariamente collegato a un Infamous Famiglia di malware chiamata More_Eggs. È noto per essere attivo almeno dal 2018, offrendo il suo warez con un modello di malware-as-a-service (MAAS).
A partire dal 2023, Golden Chickens è stato attribuito a un personaggio on-line noto come badbullzvenom, un account che si ritiene sia gestito congiuntamente da individui provenienti da Canada E Romania. Alcuni degli altri strumenti dannosi sviluppati dal gruppo e-crime includono More_Eggs Lite (Oka Lite_more_Eggs), Venomlnk, Terralader e Terracrypt.
Alla positive dell’anno scorso, Zscaler minaccia dettagliato Nuova attività legata ai polli dorati che coinvolge una backdoor chiamata Revc2 e un caricatore chiamato Venom Loader, entrambi consegnati tramite un Venomlnk.
Le ultime scoperte di Future registrate mostrano che gli attori delle minacce continuano a lavorare sulle loro offerte, rilasciando una versione aggiornata del loro malware di furto in grado di raccogliere dati da browser, portafogli di criptovaluta ed estensioni del browser.
Terrastealerv2 è stato distribuito tramite vari formati, come file eseguibili (EXES), librerie Dynamic-Hyperlink (DLLS), Pacchetti di installazione di Home windows (MSI) e collegamento di scelta rapida (LNK).
In tutti questi casi, il carico utile del furto viene erogato sotto forma di un carico utile OCX (abbreviazione per l’estensione del controllo Ole di Microsoft) che viene recuperato da un dominio esterno (“Wetransfers (.) IO”).
“Sebbene si prenda di mira il database di Chrome ‘Login Information’ per rubare le credenziali, non bypassa la crittografia legata all’applicazione (Abe) Protezioni introdotte negli aggiornamenti di Chrome dopo il luglio 2024, indicando che il codice malware è obsoleto o ancora in fase di sviluppo “, ha affermato la società di sicurezza informatica.
I dati acquisiti da Terrastealerv2 sono esfiltrati sia a Telegram che al dominio “Wetransfers (.) Io”. Sfrutta inoltre le utility di Home windows fidate, come RegSVR32.Exe e Mshta.exe, per eludere il rilevamento.
Terrologger, anche propagato come file OCX, viene progettato per registrare i tasti. Tuttavia, non embody la funzionalità per l’esfiltrazione dei dati o la comunicazione di comando e controllo (C2), suggerendo che è in fase di sviluppo precoce o destinato advert essere utilizzato insieme a un’altra parte di malware dell’ecosistema Maas Golden Chickens.
“Lo stato attuale di Terrestealerv2 e Terrogger suggerisce che entrambi gli strumenti rimangono in fase di sviluppo attivo e non mostrano ancora il livello di furtività in genere associato a strumenti maturi di galline dorate”, ha registrato Future.
“Information la storia di Golden Chickens di sviluppare malware per il furto di credenziali e le operazioni di accesso, queste funzionalità probabilmente continueranno advert evolversi”.
La divulgazione arriva in mezzo all’emergere di nuove famiglie di malware come il furto come Hannibal Stealer, Gremlin StealerE Stealer nullpoint che sono progettati per esfiltrarsi una vasta gamma di informazioni sensibili dalle sue vittime.
Segue anche la scoperta di una versione aggiornata del Furto Malware con supporto per protocollo di comunicazione a semplificazione comandi e controllo (C2) e l’aggiunta della crittografia RC4.
“Le opzioni di consegna del payload del malware sono state ampliate per includere pacchetti di installazione di software program Microsoft (MSI) e script PowerShell” disse In un rapporto pubblicato la scorsa settimana.
“Un pannello di controllo riprogettato fornisce un costruttore integrato che consente agli attori delle minacce di personalizzare le regole di consegna del payload basate su geolocalizzazione, ID {hardware} (HWID) e software program installato. Funzionalità aggiuntive includono l’acquisizione di screenshot multi-monitor, un file di file unificato e una fusione del server per crediti.”
Il nuovo 2.2.4. La versione (aka Stealc V2), introdotta nel marzo 2025, è stata osservata distribuita tramite un altro caricatore di malware chiamato Amadey. Il pannello di controllo supporta inoltre l’integrazione di Bot Telegram per l’invio di notifiche e consente la personalizzazione dei formati di messaggi.
“Stealc V2 introduce miglioramenti, come la consegna potenziata del payload, un protocollo di comunicazione aerodinamico con crittografia e un pannello di controllo riprogettato che fornisce una raccolta di informazioni più mirata”, ha affermato Zscaler.