Detecção do TerraStealerV2 e TerraLogger: Ameaça do Ator Golden Chickens por Trás de Novas Famílias de Malware
Índice:
O grupo motivado financeiramente Golden Chickens , conhecido por operar sob um modelo MaaS foi vinculado a duas novas cepas maliciosas identificadas, TerraStealerV2 e TerraLogger, o que indica os esforços contínuos do grupo para aprimorar e expandir seu conjunto de ferramentas ofensivas. TerraStealerV2 coleta credenciais de navegador, dados de carteiras de criptomoedas e detalhes de extensões de navegador, enquanto TerraLogger atua como um keylogger autônomo, capturando pressionamentos de teclas e armazenando os logs localmente.
Detecte Ataques do Golden Chickens Utilizando Malware TerraStealerV2 e TerraLogger
O relatório do Global Economic Forum destaca que em 2025, cerca de 72% das organizações viram um grande aumento no risco cibernético nos últimos 12 meses, e 63% indicaram o cenário de ameaças complexo e em evolução como seu maior desafio para se tornarem ciberneticamente resilientes. Os criminosos cibernéticos estão se tornando mais inovadores, utilizando automação, ataques gerados por IA, exploits de dia zero e táticas sofisticadas para violar até mesmo as defesas mais fortificadas.
Registre-se na Plataforma SOC Prime para superar as ameaças em evolução como TerraStealerV2 e TerraLogger do Golden Chickens. Acesse um conjunto de regras Sigma relevantes que abordam os TTPs dos atacantes apoiados por um conjunto completo de produtos para engenharia de detecção alimentada por IA, caça a ameaças automatizada e detecção avançada de ameaças. Basta pressionar o botão Explore Detections e imediatamente detalhar uma pilha de detecção curada.
Todas as regras são compatíveis com várias tecnologias SIEM, EDR e Data Lake, e mapeadas para MITRE ATT&CK® para agilizar a investigação de ameaças. Além disso, cada regra é enriquecida com metadados extensivos, incluindo CTI referências, cronogramas de ataques, configurações de auditoria, recomendações de triagem e mais.
Os ciberdefensores podem pesquisar o Threat Detection Marketplace usando as tags “TerraStealerV2” e “TerraLogger” para acompanhar as atualizações de conteúdo de detecção.
Além disso, os profissionais de segurança podem utilizar Uncoder AI – uma IDE privada & co-piloto para engenharia de detecção informada por ameaças – agora completamente gratuita e disponível sem limites de tokens nas funcionalidades de IA. Gere algoritmos de detecção a partir de relatórios de ameaças brutos, habilite varreduras IOC rápidas em consultas otimizadas para desempenho, preveja tags ATT&CK, otimize o código da consulta com dicas de IA, traduza entre 48 idiomas SIEM, EDR e Data Lake, e mais.
Análise da Atividade Mais Recente do Golden Chickens
Os pesquisadores do Insikt Group da Recorded Future descobriram algumas amostras maliciosas novas vinculadas ao grupo Golden Chickens (também conhecido como Venom Spider). Conhecido por operar uma plataforma MaaS aproveitada por atores de ameaça como FIN6, Cobalt Group, e Evilnum, o Golden Chickens parece estar expandindo ativamente seu conjunto de ferramentas para suportar atividades de roubo de credenciais e keylogging.
O TerraStealerV2 pode coletar credenciais de navegador e direcionar dados de carteiras de criptomoedas e extensões. O malware foi observado em formatos diversos, como LNK, MSI, DLL e EXE, e emprega ferramentas legítimas do Windows como regsvr32.exe e mshta.exe para evitar a detecção. Embora tente acessar o banco de dados “Login Data” do Chrome, não consegue contornar as proteções ABE pós-julho de 2024, sugerindo que ainda está em desenvolvimento ou desatualizado.
Outra nova cepa maliciosa observada, TerraLogger, opera como um keylogger básico, usando um gancho de teclado de baixo nível padrão para registrar pressionamentos de teclas e salvar os logs localmente. Carece de recursos de exfiltração de dados e C2, sugerindo que é ou uma ferramenta em estágio inicial ou projetada para funcionar modularmente dentro da estrutura MaaS do Golden Chickens.
Desde pelo menos 2018, o conjunto MaaS do Golden Chickens tem sido utilizado em ataques que visam organizações de alto perfil, principalmente por meio de táticas de engenharia social, como e-mails de spearphishing disfarçados de ofertas de emprego ou currículos. Os principais componentes do conjunto são VenomLNK e TerraLoader. As infecções tipicamente começam com VenomLNK, um atalho malicioso do Windows que lança o TerraLoader, que então entrega cargas adicionais do Golden Chickens. Estes incluem TerraStealer para roubo de credenciais, TerraTV para sequestro de sessões do TeamViewer, e TerraCrypt para implantar ransomware. Outras ferramentas associadas dentro do ecossistema MaaS do Golden Chickens incluem TerraRecon para reconhecimento de sistema, TerraWiper para destruição de dados e lite_more_eggs. No final de 2024, o Golden Chickens estava por trás da implantação do backdoor RevC2 e Venom Loader, ambos entregues via VenomLNK.
TerraStealerV2 e TerraLogger parecem ainda estar em desenvolvimento ativo e carecem de recursos sofisticados de furtividade geralmente vistos em um conjunto de ferramentas mais refinado do Golden Chickens. No entanto, considerando a comprovada expertise do grupo em construir ferramentas de roubo de credenciais e acesso, espera-se que essas funcionalidades se desenvolvam ainda mais. Para minimizar os riscos dos ataques do Golden Chickens, as organizações devem implementar estratégias proativas de cibersegurança para se defender contra ameaças em contínua evolução de forma oportuna. A Plataforma SOC Prime equipara as equipes de segurança com um conjunto completo de produtos para defesa cibernética coletiva apoiada por IA, automação e inteligência em tempo real para ajudar organizações globais a otimizarem o risco em sua postura de cibersegurança.