- TerraStealerV2, tarayıcı giriş bilgilerini, kripto cüzdan verilerini ve tarayıcı eklentilerine dair bilgileri toplamak için tasarlanmıştır.
- TerraLogger ise bağımsız bir keylogger’dır. Düşük seviyeli klavye kancası kullanarak tuş vuruşlarını kaydeder ve bu kayıtları yerel dosyalara yazar.
Golden Chickens (diğer adıyla Venom Spider), finansal motivasyonla hareket eden bir tehdit aktörüdür ve kötü şöhretli More_eggs zararlı yazılımıyla ilişkilendirilir. 2018’den bu yana aktif olduğu bilinen grup, yazılımlarını Malware-as-a-Service (MaaS) modeliyle sunmaktadır.
2023 itibarıyla, grup badbullzvenom adlı çevrim içi bir kimlikle ilişkilendiriliyor. Bu hesabın Kanada ve Romanya’daki kişiler tarafından ortaklaşa yönetildiği düşünülüyor.
Grubun geliştirdiği diğer zararlılar arasında:
- More_eggs lite (lite_more_eggs)
- VenomLNK
- TerraLoader
- TerraCrypt
2024 sonunda, Zscaler ThreatLabz tarafından RevC2 adlı bir arka kapı ve Venom Loader adlı bir yükleyici ile ilişkili yeni aktiviteler ortaya çıkarılmıştı. Bu araçlar, genellikle VenomLNK aracılığıyla dağıtılıyor.
Recorded Future’ın son bulgularına göre, grup yeni bir stealer sürümü yayınladı. Bu yazılım:
- Tarayıcılar
- Kripto para cüzdanları
- Tarayıcı eklentilerinden veri çalabiliyor.
TerraStealerV2 şu formatlarla dağıtıldı:
- EXE (çalıştırılabilir dosya)
- DLL (dinamik bağlantı kitaplığı)
- MSI (Windows Installer paketi)
- LNK (kısayol dosyası)
Tüm bu durumlarda, zararlı yük OCX (Microsoft’un OLE Control Extension formatı) şeklinde ve wetransfers[.]io alan adından indiriliyor.
Ancak: Chrome’un Temmuz 2024’ten sonraki güncellemelerinde yer alan Application Bound Encryption (ABE) korumasını aşamıyor. Bu da zararlının hâlâ geliştirme aşamasında olduğunu gösteriyor.
Ayrıca:
- Çalınan veriler hem Telegram üzerinden hem de wetransfers[.]io alanına dışarı aktarılıyor.
- regsvr32.exe ve mshta.exe gibi güvenilir Windows araçlarını kullanarak tespitten kaçmaya çalışıyor.
TerraLogger da OCX dosyası olarak yayılıyor ve yalnızca tuş vuruşlarını kaydetmeye odaklı. Herhangi bir veri dışa aktarma veya C2 iletişimi (komut ve kontrol) özelliği içermiyor. Bu nedenle ya geliştirme aşamasında ya da başka zararlılarla birlikte kullanılmak üzere tasarlanmış olabilir.
Recorded Future’a göre:
“Bu araçların şu anki durumu, Golden Chickens grubunun olgunlaşmış araçlarına kıyasla daha az gizlilik içerdiğini ve hâlâ geliştirilme aşamasında olduğunu gösteriyor.”
Bu gelişmeler, Hannibal Stealer, Gremlin Stealer ve Nullpoint Stealer gibi başka yeni stealer zararlılarının ortaya çıktığı döneme denk geliyor. Bu zararlılar da kullanıcıların hassas bilgilerini toplamak üzere geliştiriliyor.
Ayrıca, StealC zararlısının güncellenmiş bir sürümü tespit edildi:
- Yeni sürüm, daha sadeleştirilmiş bir komut ve kontrol (C2) iletişim protokolü içeriyor.
- RC4 şifreleme desteği eklendi.
- MSI paketleri ve PowerShell betikleri üzerinden yayılabiliyor.
“Bu güncelleme, saldırganların yükleme seçeneklerini genişletti ve daha gizli iletişim için şifrelemeyi dahil etti.”
Yeni StealC V2 (sürüm 2.2.4) Mart 2025’te yayınlandı ve Amadey adlı bir zararlı yükleyici aracılığıyla yayılıyor.
Geliştirilmiş kontrol paneli şu özellikleri sunuyor:
- Coğrafi konum, donanım kimliği (HWID) ve yüklü yazılımlara göre özelleştirilebilir yükleme kuralları
- Çoklu monitör ekran görüntüsü yakalama
- Gelişmiş dosya çalma aracı
- Sunucu taraflı parola brute-force (zorla tahmin etme)
- Telegram bot entegrasyonu ile saldırganlara bildirim gönderme
- Mesaj formatı özelleştirme
Zscaler açıklamasına göre:
“StealC V2, yükleme sürecini geliştirdi, iletişim protokolünü sadeleştirdi ve daha hedefe yönelik bilgi toplama için yeniden tasarlanmış bir kontrol paneli sundu.”