Detección de TerraStealerV2 y TerraLogger: El Actor Amenazante Golden Chickens Detrás de Nuevas Familias de Malware
Tabla de contenidos:
El grupo motivado por razones financieras Golden Chickens conocido por operar bajo un modelo MaaS , ha sido vinculado a dos nuevas cepas maliciosas identificadas, TerraStealerV2 y TerraLogger, lo que indica los esfuerzos continuos del grupo para mejorar y expandir su conjunto de herramientas ofensivas. TerraStealerV2 recopila credenciales del navegador, datos de billeteras de criptomonedas y detalles de extensiones del navegador, mientras que TerraLogger actúa como un keylogger independiente, capturando pulsaciones de teclas y almacenando los registros localmente.
Detectar Ataques de Golden Chickens Aprovechando el Malware TerraStealerV2 y TerraLogger
El informe del Foro Económico Global destaca que para 2025, alrededor del 72% de las organizaciones han visto un aumento significativo del riesgo cibernético en los últimos 12 meses, y el 63% indicó que el complejo y cambiante panorama de amenazas es su mayor desafío para volverse ciberresilientes. Los ciberdelincuentes se están volviendo más innovadores, aprovechando la automatización, los ataques generados por IA, los exploits de día cero y tácticas sofisticadas para superar incluso las defensas más fortificadas.
Regístrese en la Plataforma SOC Prime para escalar las amenazas en evolución como TerraStealerV2 y TerraLogger por Golden Chickens. Acceda a un conjunto de reglas Sigma relevantes que abordan las TTP de los atacantes respaldadas por un conjunto completo de productos para ingeniería de detección impulsada por IA, búsqueda de amenazas automatizada y detección avanzada de amenazas. Simplemente presione el botón Explorar Detecciones y profundice inmediatamente en una pila de detección curada.
Todas las reglas son compatibles con múltiples tecnologías SIEM, EDR y Data Lake, y están mapeadas a MITRE ATT&CK® para optimizar la investigación de amenazas. Además, cada regla está enriquecida con metadatos extensivos, incluyendo CTI referencias, cronogramas de ataques, configuraciones de auditoría, recomendaciones de triaje, y más.
Los ciberdefensores pueden buscar en el Marketplace de Detección de Amenazas usando los tags “TerraStealerV2” y “TerraLogger” para rastrear actualizaciones de contenido de detección.
Además, los profesionales de la seguridad podrían aprovechar Uncoder AI – un IDE privado & co-pilot para la ingeniería de detección informada por amenazas – ahora completamente gratis y disponible sin límites de token en características de IA. Genere algoritmos de detección a partir de informes de amenazas en bruto, habilite barridos rápidos de IOC en consultas optimizadas para el rendimiento, prediga etiquetas ATT&CK, optimice el código de consulta con consejos de IA, tradúzcalo a través de 48 lenguajes de SIEM, EDR y Data Lake, y más.
Último Análisis de Actividades de Golden Chickens
Los investigadores del grupo Insikt de Recorded Future han descubierto un par de muestras maliciosas novedosas vinculadas al grupo Golden Chickens (también conocido como Venom Spider). Conocido por operar una plataforma MaaS aprovechada por actores de amenazas como FIN6, Cobalt Group, y Evilnum, Golden Chickens parece estar expandiendo activamente su conjunto de herramientas para apoyar el robo de credenciales y actividades de keylogging.
TerraStealerV2 puede recolectar credenciales de navegadores y apuntar a billeteras de criptomonedas y datos de extensiones. Se ha observado el malware en formatos diversos, como LNK, MSI, DLL y EXE, y emplea herramientas legítimas de Windows como regsvr32.exe y mshta.exe para evitar la detección. Aunque intenta acceder a la base de datos “Login Data” de Chrome, no puede pasar por alto las protecciones ABE posteriores a julio de 2024, lo que sugiere que aún está en desarrollo o desactualizado.
Otra cepa maliciosa observada recientemente, TerraLogger, funciona como un keylogger básico, usando un gancho de teclado de bajo nivel estándar para registrar pulsaciones de teclas y guardar los registros localmente. Carece de funciones de exfiltración de datos y C2, lo que sugiere que es o bien una herramienta en etapa inicial o está diseñada para trabajar modularmente dentro del marco MaaS de Golden Chickens.
Desde al menos 2018, el conjunto MaaS de Golden Chickens ha sido aprovechado en ataques dirigidos a organizaciones de alto perfil, principalmente a través de tácticas de ingeniería social, como correos electrónicos de spearphishing que se hacen pasar por ofertas de trabajo o currículums. Los componentes principales del conjunto son VenomLNK y TerraLoader. Las infecciones típicamente comienzan con VenomLNK, un acceso directo de Windows malicioso que lanza TerraLoader, que luego entrega cargas útiles adicionales de Golden Chickens. Estas incluyen TerraStealer para el robo de credenciales, TerraTV para secuestrar sesiones de TeamViewer, y TerraCrypt para desplegar ransomware. Otras herramientas asociadas dentro del ecosistema MaaS de Golden Chickens incluyen TerraRecon para reconocimiento del sistema, TerraWiper para destrucción de datos y lite_more_eggs. A finales de 2024, Golden Chickens estuvo detrás del despliegue del backdoor RevC2 y Venom Loader, ambos entregados a través de VenomLNK.
TerraStealerV2 y TerraLogger parecen seguir en desarrollo activo y carecen de características sofisticadas de sigilo habitualmente vistas en un conjunto de herramientas más refinado de Golden Chickens. Sin embargo, considerando la probada experiencia del grupo en la construcción de herramientas de robo de credenciales y acceso, se espera que estas funcionalidades se desarrollen aún más. Para minimizar los riesgos de los ataques de Golden Chickens, las organizaciones deberían implementar estrategias proactivas de ciberseguridad para defenderse contra estas amenazas en evolución de manera oportuna. La plataforma SOC Prime equipa a los equipos de seguridad con un conjunto completo de productos para la defensa cibernética colectiva respaldado por IA, automatización e inteligencia en tiempo real para ayudar a las organizaciones globales a optimizar el riesgo de su postura de ciberseguridad.