Il gruppo di cybercriminali noto come Golden Chickens, già famoso per aver diffuso il malware More_eggs, ha introdotto due nuove minacce informatiche chiamate TerraStealerV2 e TerraLogger. Questi nuovi malware evidenziano l’impegno costante del gruppo nel diversificare e perfezionare il proprio arsenale, con un’attenzione particolare al furto di credenziali e dati sensibili.

TerraStealerV2

TerraStealerV2 è progettato per raccogliere credenziali dei browser, dati di portafogli di criptovalute e informazioni sulle estensioni installate nei browser. Il malware viene distribuito in diversi formati, inclusi file eseguibili, librerie DLL, pacchetti MSI e file di collegamento LNK. La caratteristica principale è la consegna del payload sotto forma di file OCX, scaricato da domini controllati dagli attaccanti come wetransfers[.]io. Una volta attivato, TerraStealerV2 estrae i dati d’accesso da Chrome, anche se non è in grado di aggirare le protezioni di Application Bound Encryption introdotte dopo luglio 2024, segno che il malware è ancora in fase di sviluppo o non è aggiornato.

I dati sottratti vengono poi esfiltrati sia verso Telegram sia verso domini malevoli, utilizzando strumenti legittimi di Windows come regsvr32.exe e mshta.exe per evitare il rilevamento da parte delle soluzioni di sicurezza.

TerraLogger

TerraLogger, invece, è un keylogger autonomo pensato per registrare i tasti digitati dall’utente. Tuttavia, non dispone di funzioni di esfiltrazione automatica dei dati o di comunicazione con server di comando e controllo, il che fa pensare a uno stadio iniziale di sviluppo o all’utilizzo come componente ausiliario in una catena di attacco più ampia.

Campagne di diffusione

Le campagne di Golden Chickens si sono spesso basate su email di spear-phishing, in particolare rivolte a recruiter e manager con finte candidature, o a professionisti tramite offerte di lavoro su LinkedIn, per diffondere i propri malware sotto copertura.

Nuove famiglie di malware stealer

Oltre a queste novità, il panorama dei malware stealer si arricchisce di nuove famiglie come Hannibal Stealer, Gremlin Stealer e Nullpoint Stealer, capaci di rubare numerosi tipi di dati sensibili. Anche altre minacce note come StealC e Lumma Stealer stanno evolvendo, integrando nuove tecniche di evasione e distribuzione.

Le attività di Golden Chickens e l’emergere di queste nuove varianti confermano come il furto di credenziali e dati sia ancora al centro delle strategie dei gruppi di cybercrime che operano con modelli malware-as-a-service.