Los actores de amenaza conocidos como pollos dorados han sido atribuidos a dos nuevas familias de malware denominadas TerraStealerv2 y Terralogger, lo que sugiere continuos esfuerzos de progreso para ajustar y diversificar su cantera.
«TerraStealerv2 está diseñado para resumir credenciales del navegador, datos de billetera de criptomonedas e información de extensión del navegador», dijo Future Insikt Group. «Terralogger, por el contrario, es un keylogger independiente. Utiliza un garabato de teclado de bajo nivel popular para registrar pulsaciones de teclas y escribe los registros en archivos locales».
Golden Chickens, además conocido como Venom Spider, es el nombre legado a un actor de amenaza de motivación financiera vinculada a una notoria clan de malware convocatoria More_Eggs. Se sabe que está activo desde al menos 2018, ofreciendo su Warez bajo un maniquí de malware como servicio (MAAS).
A partir de 2023, Golden Chickens ha sido atribuido a una persona en segmento conocida como Badbullzvenom, una cuenta que se cree que es operada conjuntamente por individuos de Canadá y Rumania. Algunas de las otras herramientas maliciosas desarrolladas por el montón de delitos electrónicos incluyen más_eggs Lite (Oka Lite_more_eggs), Venomlnk, Terraloader y Terracrypt.
A fines del año pasado, Zscaler Amenselabz detalló la nueva actividad relacionada con los pollos dorados que involucra una puerta trasera convocatoria RevC2 y un cargador denominado cargador de ponzoña, los cuales se entregan a través de una venomlnk.
Los últimos hallazgos de Future xilografía muestran que los actores de amenaza continúan trabajando en sus ofertas, lanzando una lectura actualizada de su malware robador que es capaz de recoger datos de navegadores, billeteras de criptomonedas y extensiones de navegador.
TerraStealerv2 se ha distribuido a través de varios formatos, como archivos ejecutables (EXES), bibliotecas de enlace dinámico (DLLS), paquetes de instalación de Windows (MSI) y archivos de ataque directo (LNK).
En todos estos casos, la carga útil del robador se entrega en forma de una carga útil OCX (iniciales de Microsoft Ole Control Extension) que se recupera de un dominio forastero («Wetransfers (.) IO»).
«Si aceptablemente se dirige a la almohadilla de datos de Chrome ‘Inicio de inicio de sesión’ para robar credenciales, no pasa por parada las protecciones de oculto de la aplicación (ABE) introducidas en las actualizaciones de Chrome posteriormente de julio de 2024, lo que indica que el código de malware está desactualizado o aún en progreso», dijo la compañía de seguridad cibernética.
Los datos capturados por TerraStealerv2 se exfiltran tanto al Telegram como al Dominio «Wetransfers (.) IO». Incluso aprovecha las utilidades de Windows de confianza, como Regsvr32.exe y Mshta.exe, para eludir la detección.
Terralogger, además propagado como un archivo OCX, está diseñado para registrar pulsaciones de teclas. Sin incautación, no incluye la funcionalidad para la exfiltración de datos o la comunicación de comando y control (C2), lo que sugiere que está en progreso temprano o está destinado a estilarse yuxtapuesto con otra parte de malware del ecosistema Golden Chickens Maas.
«El estado presente de TerraStealerv2 y Terralogger sugiere que ambas herramientas permanecen bajo progreso activo y aún no exhiben el nivel de sigilo típicamente asociado con las herramientas maduras de pollos dorados», dijo el futuro registrado.
«Dada la historia de Golden Chickens de desarrollar malware para el robo de credenciales y las operaciones de ataque, estas capacidades probablemente continuarán evolucionando».
La divulgación se produce en medio de la aparición de nuevas familias de malware robador como Hannibal Stealer, Gremlin Stealer y NullPoint Stealer que están diseñados para exfiltrar una amplia matiz de información confidencial de sus víctimas.
Incluso sigue el descubrimiento de una lectura actualizada del malware STEALC con soporte para el protocolo de comunicación de comando y control (C2) optimizado y la suplemento de oculto RC4.
«Las opciones de entrega de carga útil del malware se han ampliado para incluir paquetes de instalación de software de Microsoft (MSI) y scripts de PowerShell», dijo Zscaler Ameniclabz en un crónica publicado la semana pasada.
«Un panel de control rediseñado proporciona un constructor integrado que permite a los actores de amenaza personalizar las reglas de entrega de la carga útil basadas en la geolocalización, los ID de hardware (HWID) y el software instalado. Las características adicionales incluyen captura de captura de captura de captores de varios monitores, un captador de archivos unificado y un forro bruto del flanco del servidor para credenciales».
El nuevo 2.2.4. La lectura (además conocida como STEALC V2), introducida en marzo de 2025, se ha observado distribuirse a través de otro cargador de malware llamado Amadey. El panel de control además admite la integración de Bot de telegrama para despachar notificaciones y permite la personalización de formatos de mensaje.
«STEALC V2 introduce mejoras, como la entrega de carga útil mejorada, un protocolo de comunicaciones simplificado con oculto y un panel de control rediseñado que proporciona una compendio de información más específica», dijo ZSCALER.
