Los actores de amenaza conocidos como pollos dorados han sido atribuidos a dos nuevas familias de malware denominadas TerraStealerv2 y Terralogger, lo que sugiere continuos esfuerzos de mejora para ajustar y diversificar su conjunto.
“TerraStealerv2 está diseñado para compilar credenciales del navegador, datos de billetera de criptomonedas e información de extensión del navegador”, dijo Future Insikt Group. “Terralogger, por el contrario, es un keylogger independiente. Utiliza un encanto de teclado de bajo nivel popular para memorizar pulsaciones de teclas y escribe los registros en archivos locales”.
Golden Chickens, asimismo conocido como Venom Spider, es el nombre donado a un actor de amenaza de motivación financiera vinculada a una notoria comunidad de malware señal More_Eggs. Se sabe que está activo desde al menos 2018, ofreciendo su Warez bajo un maniquí de malware como servicio (MAAS).
A partir de 2023, Golden Chickens ha sido atribuido a una persona en tangente conocida como Badbullzvenom, una cuenta que se cree que es operada conjuntamente por individuos de Canadá y Rumania. Algunas de las otras herramientas maliciosas desarrolladas por el rama de delitos electrónicos incluyen más_eggs Lite (Oka Lite_more_eggs), Venomlnk, Terraloader y Terracrypt.
A fines del año pasado, Zscaler Amenselabz detalló la nueva actividad relacionada con los pollos dorados que involucra una puerta trasera señal RevC2 y un cargador denominado cargador de tóxico, los cuales se entregan a través de una venomlnk.
Los últimos hallazgos de Future fotograbado muestran que los actores de amenaza continúan trabajando en sus ofertas, lanzando una lectura actualizada de su malware robador que es capaz de recoger datos de navegadores, billeteras de criptomonedas y extensiones de navegador.
TerraStealerv2 se ha distribuido a través de varios formatos, como archivos ejecutables (EXES), bibliotecas de enlace dinámico (DLLS), paquetes de instalación de Windows (MSI) y archivos de comunicación directo (LNK).
En todos estos casos, la carga útil del robador se entrega en forma de una carga útil OCX (iniciales de Microsoft Ole Control Extension) que se recupera de un dominio extranjero (“Wetransfers (.) IO”).
“Si acertadamente se dirige a la pulvínulo de datos de Chrome ‘Inicio de inicio de sesión’ para robar credenciales, no pasa por detención las protecciones de criptográfico de la aplicación (ABE) introducidas en las actualizaciones de Chrome luego de julio de 2024, lo que indica que el código de malware está desactualizado o aún en mejora”, dijo la compañía de seguridad cibernética.
Los datos capturados por TerraStealerv2 se exfiltran tanto al Telegram como al Dominio “Wetransfers (.) IO”. Igualmente aprovecha las utilidades de Windows de confianza, como Regsvr32.exe y Mshta.exe, para esquivar la detección.
Terralogger, asimismo propagado como un archivo OCX, está diseñado para memorizar pulsaciones de teclas. Sin secuestro, no incluye la funcionalidad para la exfiltración de datos o la comunicación de comando y control (C2), lo que sugiere que está en mejora temprano o está destinado a estar de moda adjunto con otra parte de malware del ecosistema Golden Chickens Maas.
“El estado presente de TerraStealerv2 y Terralogger sugiere que ambas herramientas permanecen bajo mejora activo y aún no exhiben el nivel de sigilo típicamente asociado con las herramientas maduras de pollos dorados”, dijo el futuro registrado.
“Dada la historia de Golden Chickens de desarrollar malware para el robo de credenciales y las operaciones de comunicación, estas capacidades probablemente continuarán evolucionando”.
La divulgación se produce en medio de la aparición de nuevas familias de malware robador como Hannibal Stealer, Gremlin Stealer y NullPoint Stealer que están diseñados para exfiltrar una amplia grado de información confidencial de sus víctimas.
Igualmente sigue el descubrimiento de una lectura actualizada del malware STEALC con soporte para el protocolo de comunicación de comando y control (C2) optimizado y la añadidura de criptográfico RC4.
“Las opciones de entrega de carga útil del malware se han ampliado para incluir paquetes de instalación de software de Microsoft (MSI) y scripts de PowerShell”, dijo Zscaler Ameniclabz en un noticia publicado la semana pasada.
“Un panel de control rediseñado proporciona un constructor integrado que permite a los actores de amenaza personalizar las reglas de entrega de la carga útil basadas en la geolocalización, los ID de hardware (HWID) y el software instalado. Las características adicionales incluyen captura de captura de captura de captores de varios monitores, un captador de archivos unificado y un forro bruto del flanco del servidor para credenciales”.
El nuevo 2.2.4. La lectura (asimismo conocida como STEALC V2), introducida en marzo de 2025, se ha observado distribuirse a través de otro cargador de malware llamado Amadey. El panel de control asimismo admite la integración de Bot de telegrama para remitir notificaciones y permite la personalización de formatos de mensaje.
“STEALC V2 introduce mejoras, como la entrega de carga útil mejorada, un protocolo de comunicaciones simplificado con criptográfico y un panel de control rediseñado que proporciona una sumario de información más específica”, dijo ZSCALER.
