Aktor-aktor ancaman yang dikenal sebagai ayam emas telah dikaitkan dengan dua keluarga malware baru yang dijuluki Terrastealerv2 dan Terralogger, menunjukkan upaya pembangunan berkelanjutan untuk menyempurnakan dan mendiversifikasi persenjataan mereka.
“TerrasteAlerv2 dirancang untuk mengumpulkan kredensial browser, data dompet cryptocurrency, dan informasi ekstensi browser,” kata Insikt Group di masa depan. “Terralogger, sebaliknya, adalah keylogger mandiri. Ia menggunakan kait keyboard tingkat rendah yang umum untuk merekam penekanan tombol dan menulis log ke file lokal.”
Golden Chickens, juga dikenal sebagai Venom Spider, adalah nama yang diberikan kepada aktor ancaman yang termotivasi secara finansial yang terkait dengan keluarga malware terkenal yang disebut More_eggs. Ini diketahui aktif sejak setidaknya 2018, menawarkan Warez di bawah model malware-as-a-service (MAAS).
Pada tahun 2023, ayam emas telah dikaitkan dengan persona online yang dikenal sebagai Badbullzvenom, sebuah akun yang diyakini dioperasikan bersama oleh individu dari Kanada dan Rumania. Beberapa alat jahat lainnya yang dikembangkan oleh grup E-Crime termasuk More_eggs Lite (oka lite_more_eggs), Venomlnk, Terraloader, dan Terracrypt.
Akhir tahun lalu, Zscaler Threatlabz merinci aktivitas terkait ayam emas baru yang melibatkan pintu belakang yang disebut REVC2 dan loader yang disebut venom loader, yang keduanya dikirimkan melalui venomlnk.
Temuan terbaru dari rekaman masa depan menunjukkan bahwa para aktor ancaman terus mengerjakan penawaran mereka, merilis versi terbaru dari malware pencuri mereka yang mampu memanen data dari browser, dompet cryptocurrency, dan ekstensi browser.
TerrasteAlerv2 telah didistribusikan melalui berbagai format, seperti file yang dapat dieksekusi (exes), pustaka dinasik-link (DLL), Windows Installer Packages (MSI), dan file pintasan (LNK).
Dalam semua kasus ini, muatan pencuri dikirim dalam bentuk OCX (kependekan dari Ekstensi Kontrol OLE Microsoft) yang diambil dari domain eksternal (“Wetransfers[.]io “).
“Sementara itu menargetkan database 'data login' chrome untuk mencuri kredensial, itu tidak memotong perlindungan aplikasi terikat aplikasi (ABE) yang diperkenalkan dalam pembaruan chrome setelah Juli 2024, yang menunjukkan kode malware sudah ketinggalan zaman atau masih dalam pengembangan,” kata perusahaan cybersecurity.
Data yang ditangkap oleh terastealerv2 dieksfiltrasi ke telegram dan domain “wetransfers[.]io. “Ini juga memanfaatkan utilitas windows tepercaya, seperti regsvr32.exe dan mshta.exe, untuk menghindari deteksi.
Terralogger, juga diperbanyak sebagai file OCX, direkayasa untuk merekam penekanan tombol. Namun, itu tidak termasuk fungsionalitas untuk komunikasi exfiltration atau command-and-control (C2), menunjukkan baik dalam pengembangan awal atau dimaksudkan untuk digunakan bersama dengan bagian malware lain dari ekosistem Golden Chickens Maas.
“Keadaan TerrasteAlerv2 saat ini dan Terralogger menunjukkan bahwa kedua alat tetap dalam pengembangan aktif dan belum menunjukkan tingkat stealth yang biasanya terkait dengan perkakas ayam emas dewasa,” kata Future yang mencatat.
“Mengingat sejarah Golden Chickens tentang pengembangan malware untuk pencurian kredensial dan operasi akses, kemampuan ini kemungkinan akan terus berkembang.”
Pengungkapan itu muncul di tengah munculnya keluarga pencuri malware baru seperti Hannibal Stealer, Gremlin Stealer, dan Nullpoint Stealer yang dirancang untuk mengeluarkan berbagai informasi sensitif dari para korbannya.
Ini juga mengikuti penemuan versi terbaru dari malware stealc dengan dukungan untuk protokol komunikasi perintah-dan-kontrol (C2) yang ramping dan penambahan enkripsi RC4.
“Opsi pengiriman payload malware telah diperluas untuk menyertakan paket Microsoft Software Installer (MSI) dan skrip PowerShell,” kata Zscaler Threatlabz dalam sebuah laporan yang diterbitkan minggu lalu.
“Panel kontrol yang didesain ulang menyediakan pembangun terintegrasi yang memungkinkan aktor ancaman untuk menyesuaikan aturan pengiriman payload berdasarkan geolokasi, ID perangkat keras (HWID), dan perangkat lunak yang diinstal. Fitur tambahan termasuk tangkapan layar multi-monitor, perampas file terpadu, dan kredensial yang mem-forcing untuk kredensial.”
2.2.4 yang baru. Versi (alias stealc v2), diperkenalkan pada Maret 2025, telah diamati didistribusikan melalui pemuat malware lain yang disebut Amadey. Panel kontrol juga mendukung integrasi bot telegram untuk mengirim pemberitahuan dan memungkinkan penyesuaian format pesan.
“Stealc V2 memperkenalkan perbaikan, seperti peningkatan pengiriman muatan, protokol komunikasi yang ramping dengan enkripsi, dan panel kontrol yang didesain ulang yang menyediakan pengumpulan informasi yang lebih bertarget,” kata Zscaler.
