Les acteurs de la menace connus sous le nom de Golden Chickens ont été attribués à deux nouvelles familles de logiciels malveillants baptisées TerraStealerV2 et TerraLogger, ce qui suggère des efforts de développement continus pour affiner et diversifier leur arsenal.

« TerraStealerV2 est conçu pour collecter les identifiants de navigateur, les données de portefeuille de cryptomonnaies et les informations sur les extensions de navigateur », a déclaré Recorded Future Insikt Group . « TerraLogger, en revanche, est un enregistreur de frappe autonome. Il utilise un hook clavier de bas niveau pour enregistrer les frappes et écrire les journaux dans des fichiers locaux. »

Golden Chickens, également connu sous le nom de Venom Spider, est le nom donné à un acteur malveillant motivé par des raisons financières et lié à une famille de malwares notoire appelée More_eggs . Actif depuis au moins 2018, il propose ses warez selon un modèle de malware en tant que service (MaaS).

Depuis 2023, Golden Chickens est attribué à un compte en ligne connu sous le nom de badbullzvenom, qui serait exploité conjointement par des individus originaires du Canada et de Roumanie . Parmi les autres outils malveillants développés par ce groupe de cybercriminalité figurent More_eggs lite (alias lite_more_eggs), VenomLNK, TerraLoader et TerraCrypt.

À la fin de l’année dernière, Zscaler ThreatLabz a détaillé une nouvelle activité liée à Golden Chickens impliquant une porte dérobée appelée RevC2 et un chargeur appelé Venom Loader, tous deux livrés via un VenomLNK.

Les dernières découvertes de Recorded Future montrent que les acteurs de la menace continuent de travailler sur leurs offres, en publiant une version mise à jour de leur malware voleur capable de collecter des données à partir des navigateurs, des portefeuilles de crypto-monnaie et des extensions de navigateur.

TerraStealerV2 a été distribué via divers formats, tels que des fichiers exécutables (EXE), des bibliothèques de liens dynamiques (DLL), des packages Windows Installer (MSI) et des fichiers de raccourci (LNK).

Dans tous ces cas, la charge utile du voleur est livrée sous la forme d’une charge utile OCX (abréviation de Microsoft’s OLE Control Extension) récupérée à partir d’un domaine externe (« wetransfers[.]io »).

« Bien qu’il cible la base de données « Données de connexion » de Chrome pour voler des informations d’identification, il ne contourne pas les protections Application Bound Encryption ( ABE ) introduites dans les mises à jour de Chrome après juillet 2024, indiquant que le code du malware est obsolète ou encore en cours de développement », a déclaré la société de cybersécurité.

Les données capturées par TerraStealerV2 sont exfiltrées vers Telegram et le domaine « wetransfers[.]io ». Il utilise également des utilitaires Windows fiables, tels que regsvr32.exe et mshta.exe, pour échapper à la détection.

TerraLogger, également diffusé sous forme de fichier OCX, est conçu pour enregistrer les frappes clavier. Cependant, il n’inclut pas de fonctionnalité d’exfiltration de données ni de communication de commande et de contrôle (C2), ce qui suggère qu’il est en cours de développement ou destiné à être utilisé conjointement avec un autre malware de l’écosystème MaaS Golden Chickens.

« L’état actuel de TerraStealerV2 et TerraLogger suggère que les deux outils restent en développement actif et ne présentent pas encore le niveau de furtivité généralement associé aux outils Golden Chickens matures », a déclaré Recorded Future.

« Compte tenu de l’historique de Golden Chickens en matière de développement de logiciels malveillants pour le vol d’informations d’identification et les opérations d’accès, ces capacités continueront probablement d’évoluer. »

Cette révélation intervient dans un contexte d’émergence de nouvelles familles de logiciels malveillants voleurs comme Hannibal Stealer , Gremlin Stealer et Nullpoint Stealer , conçus pour exfiltrer un large éventail d’informations sensibles de leurs victimes.

Cela fait également suite à la découverte d’une version mise à jour du malware StealC avec prise en charge du protocole de communication de commande et de contrôle (C2) simplifié et l’ajout du cryptage RC4.

« Les options de livraison de la charge utile du malware ont été étendues pour inclure les packages Microsoft Software Installer (MSI) et les scripts PowerShell », a déclaré Zscaler ThreatLabz dans un rapport publié la semaine dernière.

Un panneau de contrôle repensé offre un outil de création intégré permettant aux acteurs malveillants de personnaliser les règles de distribution des charges utiles en fonction de la géolocalisation, des identifiants matériels (HWID) et des logiciels installés. Parmi les fonctionnalités supplémentaires, on compte la capture d’écran multi-écrans, un outil de capture de fichiers unifié et la détection d’identifiants par force brute côté serveur.

La nouvelle version 2.2.4 (également appelée StealC V2), introduite en mars 2025, a été détectée comme étant distribuée via un autre chargeur de malware appelé Amadey. Le panneau de configuration prend également en charge l’intégration du bot Telegram pour l’envoi de notifications et permet la personnalisation du format des messages.

« StealC V2 introduit des améliorations, telles qu’une livraison de charge utile améliorée, un protocole de communication simplifié avec cryptage et un panneau de contrôle repensé qui fournit une collecte d’informations plus ciblée », a déclaré Zscaler.