TerraStealerV2 & TerraLogger: Τα νέα malware των hackers Golden Chickens

Οι hackers Golden Chickens έχουν συνδεθεί με δύο νέα malware, τα TerraStealerV2 και TerraLogger, εμπλουτίζοντας το “οπλοστάσιό” τους.

Σύμφωνα με την ομάδα Insikt της Recorded Future, το TerraStealerV2 είναι σχεδιασμένο για να υποκλέπτει στοιχεία από προγράμματα περιήγησης, crypto wallets και πληροφορίες από επεκτάσεις. Αντίθετα, το TerraLogger λειτουργεί ως αυτόνομο keylogger, καταγράφοντας κάθε πάτημα πλήκτρου και αποθηκεύοντας τα δεδομένα τοπικά σε αρχεία.

Advertisement

Η ομάδα Golden Chickens, γνωστή και με το ψευδώνυμο Venom Spider, δραστηριοποιείται τουλάχιστον από το 2018 και έχει συνδεθεί με το κακόβουλο λογισμικό More_eggs. Προσφέρει τα εργαλεία της ως υπηρεσία malware-as-a-service και έχει οικονομικά κίνητρα.

Δείτε επίσης: Το StealC info-stealer malware γίνεται ακόμα πιο επικίνδυνο

Στο ψηφιακό της οπλοστάσιο περιλαμβάνονται επίσης τα εργαλεία More_eggs lite (ή lite_more_eggs), VenomLNK, TerraLoader και TerraCrypt.

Από το 2023, η ομάδα έχει συνδεθεί με μια διαδικτυακή περσόνα (badbullzvenom), έναν λογαριασμό που πιστεύεται ότι ανήκει σε άτομα με έδρα τον Καναδά και τη Ρουμανία.

Στα τέλη του 2024, οι ερευνητές του Zscaler ThreatLabz κατέγραψαν νέα δραστηριότητα που σχετίζεται με αυτήν την ομάδα. Εντόπισαν τη χρήση ενός νέου backdoor που ονομάζεται RevC2 και ενός loader με την ονομασία Venom Loader, τα οποία διανέμονται μέσω ενός VenomLNK.

Σύμφωνα με τα πιο πρόσφατα στοιχεία της Recorded Future, οι κυβερνοεγκληματίες συνεχίζουν να βελτιώνουν τα εργαλεία τους, παρουσιάζοντας μια ανανεωμένη έκδοση του κακόβουλου λογισμικού TerraStealerV2, το οποίο μπορεί να υποκλέψει πληροφορίες από browsers, πορτοφόλια κρυπτονομισμάτων και browser επεκτάσεις. Η διάδοση του TerraStealerV2 γίνεται μέσω διαφόρων τύπων αρχείων, όπως εκτελέσιμα (EXE), dynamic-link libraries (DLLs), Windows Installer packages (MSI) και shortcut (LNK) files.

Σε όλες τις περιπτώσεις, το κακόβουλο περιεχόμενο μεταφέρεται ως OCX αρχείο, το οποίο ανακτάται από εξωτερικό domain (“wetransfers[.]io”).

Δείτε επίσης: Χάκερ χρησιμοποιούν το Eye Pyramid Tool για να αναπτύξουν malware

Αν και το λογισμικό προσπαθεί να αποκτήσει πρόσβαση στη βάση δεδομένων “Login Data” του Google Chrome για να αποσπάσει διαπιστευτήρια, δεν καταφέρνει να παρακάμψει τη λειτουργία Application Bound Encryption (ABE) που εφαρμόστηκε στις νέες εκδόσεις του Chrome από τον Ιούλιο του 2024. Αυτό δείχνει ότι το malware είναι είτε “ξεπερασμένο’ είτε βρίσκεται ακόμα σε φάση ανάπτυξης.

Τα δεδομένα, που υποκλέπτονται, αποστέλλονται τόσο στο Telegram όσο και στον προαναφερθέν domain (wetransfers[.]io). Το λογισμικό αξιοποιεί επίσης νόμιμα εργαλεία των Windows, όπως τα regsvr32.exe και mshta.exe, προκειμένου να αποφεύγει την ανίχνευση από τα συστήματα ασφαλείας.

Το keylogger TerraLogger διανέμεται επίσης ως αρχείο OCX και καταγράφει τις πληκτρολογήσεις. Παρ’ όλα αυτά, δεν διαθέτει μηχανισμό για αποστολή των δεδομένων ούτε λειτουργίες απομακρυσμένου ελέγχου (C2). Αυτό υποδηλώνει ότι είτε βρίσκεται σε πρώιμο στάδιο ανάπτυξης είτε είναι σχεδιασμένο να λειτουργεί συμπληρωματικά με άλλα malware των hackers Golden Chickens.

Η Recorded Future σημείωσε ότι η τρέχουσα μορφή των TerraStealerV2 και TerraLogger δείχνει πως βρίσκονται ακόμα υπό ενεργή ανάπτυξη και δεν διαθέτουν ακόμη το υψηλό επίπεδο απόκρυψης που χαρακτηρίζει τα πλήρως εξελιγμένα εργαλεία της Golden Chickens.

Προστασία από malware

Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.

Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι οι υπάλληλοι πρέπει να μάθουν να αναγνωρίζουν και να αποφεύγουν τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν malware.

Δείτε επίσης: Το Tsunami malware διαθέτει Miners και Credential Stealers

Επίσης, είναι σημαντικό να διατηρείται το λειτουργικό σύστημα και οι εφαρμογές ενημερωμένα. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή από τις πιο πρόσφατες απειλές.

Επίσης, μην ξεχνάμε τη χρήση firewalls και την παρακολούθηση του network traffic που θα βοηθήσει στον άμεσο εντοπισμό ύποπτης δραστηριότητας. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.

Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας έναντι του malware. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.

Πηγή: thehackernews.com