Golden Chickens: Neue Malware-Entwicklungen bedrohen Browser-Sicherheit

MÜNCHEN (IT BOLTWISE) – Die Bedrohung durch Cyberkriminalität nimmt mit der Entwicklung neuer Malware-Familien durch die Gruppe Golden Chickens weiter zu. Diese Gruppe, auch bekannt als Venom Spider, hat kürzlich zwei neue Schadprogramme namens TerraStealerV2 und TerraLogger entwickelt, die darauf abzielen, sensible Daten aus Browsern und Kryptowährungs-Wallets zu stehlen.

Die Cyberkriminellen-Gruppe Golden Chickens, die seit 2018 aktiv ist, hat sich auf die Entwicklung von Malware spezialisiert, die unter einem Malware-as-a-Service (MaaS) Modell angeboten wird. Ihre neuesten Kreationen, TerraStealerV2 und TerraLogger, zeigen, dass die Gruppe weiterhin daran arbeitet, ihre Werkzeuge zu verfeinern und zu diversifizieren. TerraStealerV2 ist darauf ausgelegt, Browser-Anmeldedaten, Kryptowährungs-Wallet-Daten und Informationen über Browser-Erweiterungen zu sammeln. Im Gegensatz dazu ist TerraLogger ein eigenständiger Keylogger, der Tastatureingaben aufzeichnet und die Protokolle lokal speichert.

Golden Chickens, auch unter dem Pseudonym badbullzvenom bekannt, wird von Personen aus Kanada und Rumänien betrieben. Zu den weiteren von dieser Gruppe entwickelten bösartigen Werkzeugen gehören More_eggs lite, VenomLNK, TerraLoader und TerraCrypt. Diese Werkzeuge werden häufig über verschiedene Formate wie ausführbare Dateien, dynamische Bibliotheken und Verknüpfungsdateien verteilt. Besonders bemerkenswert ist, dass TerraStealerV2 seine Nutzlast in Form einer OCX-Datei von einer externen Domain bezieht.

Obwohl TerraStealerV2 die Chrome ‘Login Data’-Datenbank angreift, um Anmeldedaten zu stehlen, kann es die Application Bound Encryption (ABE) Schutzmaßnahmen, die in Chrome-Updates nach Juli 2024 eingeführt wurden, nicht umgehen. Dies deutet darauf hin, dass der Malware-Code entweder veraltet oder noch in der Entwicklung ist. Die erfassten Daten werden sowohl an Telegram als auch an die Domain ‘wetransfers[.]io’ exfiltriert. Um einer Entdeckung zu entgehen, nutzt die Malware vertrauenswürdige Windows-Dienstprogramme wie regsvr32.exe und mshta.exe.

TerraLogger hingegen ist darauf ausgelegt, Tastatureingaben aufzuzeichnen, bietet jedoch keine Funktionalität zur Datenexfiltration oder für Command-and-Control-Kommunikation. Dies lässt vermuten, dass es sich entweder in der frühen Entwicklung befindet oder in Verbindung mit einem anderen Teil des Golden Chickens MaaS-Ökosystems verwendet werden soll. Die aktuelle Entwicklung von TerraStealerV2 und TerraLogger deutet darauf hin, dass beide Werkzeuge noch aktiv weiterentwickelt werden und noch nicht das Maß an Tarnung aufweisen, das typischerweise mit ausgereiften Golden Chickens-Tools verbunden ist.

Die Enthüllung dieser neuen Malware-Familien erfolgt zu einem Zeitpunkt, an dem auch andere Stealer-Malware wie Hannibal Stealer, Gremlin Stealer und Nullpoint Stealer auftauchen, die darauf abzielen, eine Vielzahl sensibler Informationen von ihren Opfern zu exfiltrieren. Diese Entwicklungen unterstreichen die Notwendigkeit, dass Unternehmen und Einzelpersonen wachsam bleiben und ihre Sicherheitsmaßnahmen kontinuierlich anpassen, um sich gegen die sich ständig weiterentwickelnden Bedrohungen zu schützen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!