Los actores de amenaza conocidos como pollos dorados han sido atribuidos a dos nuevas familias de malware denominadas TerraStealerv2 y Terralogger, lo que sugiere continuos esfuerzos de desarrollo para ajustar y diversificar su arsenal.
“TerraStealerv2 está diseñado para recopilar credenciales del navegador, datos de billetera de criptomonedas e información de extensión del navegador”, registró Future Insikt Group dicho. “Terralogger, por el contrario, es un keylogger independiente. Utiliza un gancho de teclado de bajo nivel común para grabar pulsaciones de teclas y escribe los registros en archivos locales”.
Golden Chickens, también conocido como Venom Spider, es el nombre dado a un actor de amenaza de motivación financiera vinculada a una notoria familia de malware llamada More_Eggs. Se sabe que está activo desde al menos 2018, ofreciendo su Warez bajo un modelo de malware como servicio (MAAS).
A partir de 2023, Golden Chickens ha sido atribuido a una persona en línea conocida como Badbullzvenom, una cuenta que se cree que es operada conjuntamente por individuos de Canadá y Rumania. Algunas de las otras herramientas maliciosas desarrolladas por el grupo de delitos electrónicos incluyen más_eggs Lite (Oka Lite_more_eggs), Venomlnk, Terraloader y Terracrypt.
A fines del año pasado, Zscaler Amenselabz detalló la nueva actividad relacionada con los pollos dorados que involucra una puerta trasera llamada RevC2 y un cargador denominado cargador de veneno, los cuales se entregan a través de una venomlnk.
Los últimos hallazgos de Future grabado muestran que los actores de amenaza continúan trabajando en sus ofertas, lanzando una versión actualizada de su malware robador que es capaz de recolectar datos de navegadores, billeteras de criptomonedas y extensiones de navegador.
TerraStealerv2 se ha distribuido a través de varios formatos, como archivos ejecutables (EXES), bibliotecas de enlace dinámico (DLLS), paquetes de instalación de Windows (MSI) y archivos de acceso directo (LNK).
En todos estos casos, la carga útil del robador se entrega en forma de carga útil OCX (abreviatura de Microsoft Ole Control Extension) que se recupera de un dominio externo (“Wetransfers[.]io “).
“Si bien se dirige a la base de datos de Chrome ‘Inicio de inicio de sesión’ para robar credenciales, no pasa por alto las protecciones de cifrado de la aplicación (ABE) introducidas en las actualizaciones de Chrome después de julio de 2024, lo que indica que el código de malware está desactualizado o aún en desarrollo”, dijo la compañía de seguridad cibernética.
Los datos capturados por TerraStealerv2 se exfiltran tanto a Telegram como al dominio “Wetransfers[.]io. “También aprovecha las utilidades de Windows de confianza, como Regsvr32.exe y Mshta.exe, para evadir la detección.
Terralogger, también propagado como un archivo OCX, está diseñado para grabar pulsaciones de teclas. Sin embargo, no incluye la funcionalidad para la exfiltración de datos o la comunicación de comando y control (C2), lo que sugiere que está en desarrollo temprano o está destinado a usarse junto con otra parte de malware del ecosistema Golden Chickens Maas.
“El estado actual de TerraStealerv2 y Terralogger sugiere que ambas herramientas permanecen bajo desarrollo activo y aún no exhiben el nivel de sigilo típicamente asociado con las herramientas maduras de pollos dorados”, dijo el futuro registrado.
“Dada la historia de Golden Chickens de desarrollar malware para el robo de credenciales y las operaciones de acceso, estas capacidades probablemente continuarán evolucionando”.
La divulgación se produce en medio de la aparición de nuevas familias de malware de robador como Hannibal Stealer, Robador de gremliny Nullpoint Steler que están diseñados para exfiltrar una amplia gama de información confidencial de sus víctimas.
También sigue el descubrimiento de una versión actualizada del malware STEALC con soporte para el protocolo de comunicación de comando y control (C2) optimizado y la adición de cifrado RC4.
“Las opciones de entrega de carga útil del malware se han ampliado para incluir paquetes de instalación de software de Microsoft (MSI) y scripts de PowerShell”, Zscaler amenazlabz dicho en un informe publicado la semana pasada.
“Un panel de control rediseñado proporciona un constructor integrado que permite a los actores de amenaza personalizar las reglas de entrega de la carga útil basadas en la geolocalización, los ID de hardware (HWID) y el software instalado. Las características adicionales incluyen captura de captura de captura de captores de varios monitores, un captador de archivos unificado y un forro bruto del lado del servidor para credenciales”.
El nuevo 2.2.4. La versión (también conocida como STEALC V2), introducida en marzo de 2025, se ha observado distribuirse a través de otro cargador de malware llamado Amadey. El panel de control también admite la integración de Bot de telegrama para enviar notificaciones y permite la personalización de formatos de mensaje.
“STEALC V2 introduce mejoras, como la entrega de carga útil mejorada, un protocolo de comunicaciones simplificado con cifrado y un panel de control rediseñado que proporciona una recopilación de información más específica”, dijo ZSCALER.
About the Author
