Altın tavuk olarak bilinen tehdit aktörleri, Terrastealerv2 ve Terralogger olarak adlandırılan iki yeni kötü amaçlı yazılım ailesine atfedildi ve bu da cephaneliğine ince ayar yapmak ve çeşitlendirmek için sürekli kalkınma çabalarını gösteriyor.
Future Insikt Group, “TerrateAlerv2 tarayıcı kimlik bilgileri, kripto para birimi cüzdan verileri ve tarayıcı uzantısı bilgilerini toplamak için tasarlandı.” Dedi. “Terralogger, aksine, bağımsız bir Keylogger’dır. Tuş vuruşlarını kaydetmek ve günlükleri yerel dosyalara yazmak için ortak bir düşük seviyeli klavye kancası kullanır.”
Venom Spider olarak da bilinen altın tavuklar, More_Eggs adlı kötü şöhretli bir kötü amaçlı yazılım ailesiyle bağlantılı finansal olarak motive olmuş bir tehdit oyuncusu için verilen isimdir. En az 2018’den beri aktif olduğu biliniyor ve Warez’i Hizmet Olarak Kötü Yazılım (MAAS) modeli altında sunuyor.
2023 itibariyle Altın Tavuklar, Kanada ve Romanya’dan bireyler tarafından ortaklaşa işletildiğine inanılan bir hesap olan Badbullzvenom olarak bilinen çevrimiçi bir kişiye atfedildi. E-suç grubu tarafından geliştirilen diğer kötü amaçlı araçlardan bazıları More_Eggs Lite (Oka Lite_more_Eggs), Venomlnk, Terraloader ve Treatrrypt’dir.
Geçen yılın sonlarında, Zscaler Tehditlabz, RevC2 adı verilen bir arka kapıyı içeren yeni altın tavuklarla ilgili etkinliği ve her ikisi de bir Venomlnk aracılığıyla verilen Venom Yükleyici olarak adlandırılan bir yükleyici detaylandırdı.
Kaydedilen gelecekteki en son bulgular, tehdit aktörlerinin teklifleri üzerinde çalışmaya devam ettiklerini, tarayıcılardan, kripto para cüzdanlarından ve tarayıcı uzantılarından veri hasat edebilen güncellenmiş kötü amaçlı yazılımlarının güncellenmiş bir sürümünü yayınladığını gösteriyor.
TerrateAlerv2, yürütülebilir dosyalar (exes), Dinamik-Link kitaplıkları (DLLS), Windows yükleyici paketleri (MSI) ve kısayol (LNK) dosyaları gibi çeşitli biçimler aracılığıyla dağıtılmıştır.
Tüm bu durumlarda, stealer yükü, harici bir alandan (“wetransfers’tan alınan bir OCX (Microsoft’un OLE kontrol uzantısı için kısa) yükü şeklinde teslim edilir.[.]io “).
Cybersecurity Company, “Kimlik bilgilerini çalmak için Chrome ‘Oturum Açma Verileri’ veritabanını hedeflerken, Temmuz 2024’ten sonra Chrome güncellemelerinde tanıtılan, kötü amaçlı yazılım kodunun modası geçmiş veya hala geliştirildiğini gösteren uygulamaya bağlı şifreleme (ABE) korumalarını atlamıyor.” Dedi.
TerrateAlerv2 tarafından yakalanan veriler hem telgrafta hem de “Wetransfers alanına eklenmiştir[.]Io. “Aynı zamanda algılamadan kaçınmak için REGSVR32.EXE ve MSHTA.EXE gibi güvenilir Windows yardımcı programlarından da yararlanır.
Bir OCX dosyası olarak da yayılan Terralogger, tuş vuruşlarını kaydetmek için tasarlanmıştır. Bununla birlikte, veri açığa çıkması veya komut ve kontrol (C2) iletişiminin işlevselliğini içermez, bu da erken geliştirmede olduğunu veya Altın Tavuklar Maas ekosisteminin başka bir kötü amaçlı yazılım kısmı ile birlikte kullanılması amaçlanmıştır.
“Terratecealerv2 ve Terralogger’ın mevcut durumu, her iki aracın da aktif gelişme altında kaldığını ve henüz olgun altın tavuk takımlarıyla ilişkili gizli gizlilik seviyesini sergilemediğini öne sürüyor.” Dedi.
“Altın Tavukların Kimlik Hırsızlığı ve Erişim Operasyonları için kötü amaçlı yazılım geliştirme geçmişi göz önüne alındığında, bu yetenekler muhtemelen gelişmeye devam edecektir.”
Açıklama, kurbanlarından çok çeşitli hassas bilgileri yaymak için tasarlanmış Hannibal Stealer, Gremlin Stealer ve Nullpoint Stealer gibi yeni stealer kötü amaçlı yazılım ailelerinin ortaya çıkmasıyla ortaya çıkıyor.
Ayrıca, akıcı komut ve kontrol (C2) iletişim protokolünü ve RC4 şifrelemesinin eklenmesi için STEALC kötü amaçlı yazılımlarının güncellenmiş bir sürümünün keşfini izler.
Zscaler Tehditlabz, geçen hafta yayınlanan bir raporda, “Kötü amaçlı yazılımların yük dağıtım seçenekleri, Microsoft Yazılım Yükleyicisi (MSI) paketlerini ve PowerShell komut dosyalarını içerecek şekilde genişletildi.” Dedi.
“Yeniden tasarlanan bir kontrol paneli, tehdit aktörlerinin coğrafi konum, donanım kimlikleri (HWID) ve yüklü yazılımlara dayalı yük dağıtım kurallarını özelleştirmelerini sağlayan entegre bir oluşturucu sağlar. Ek özellikler arasında çoklu monitör ekran görüntüsü yakalama, birleştirilmiş bir dosya kapma ve kimlik bilgileri için sunucu tarafı kaba kuvvetler bulunur.”
Yeni 2.2.4. Mart 2025’te tanıtılan versiyonun (Stealc V2), Amadey adlı başka bir kötü amaçlı yazılım yükleyici aracılığıyla dağıtıldığı gözlenmiştir. Kontrol paneli ayrıca bildirim göndermek için Telegram bot entegrasyonunu da destekler ve mesaj formatlarının özelleştirilmesine izin verir.
Zscaler, “Stealc V2, gelişmiş yük sunumu, şifreleme ile aerodinamik bir iletişim protokolü ve daha hedefli bilgi toplama sağlayan yeniden tasarlanmış bir kontrol paneli gibi iyileştirmeler sunuyor.” Dedi.