Легальный Windows-файл, странный Telegram и исчезнувшие биткоины. Совпадение?

Специалисты Insikt Group обнаружили в сети два новых цифровых инструмента, предназначенных для кражи паролей и опустошения криптовалютных кошельков. За разработкой стоит группировка Golden Chickens (также известная как Venom Spider), действующая по модели "вредоносное ПО как услуга" (malware-as-a-service, MaaS).

Исследование, проведенное с января по апрель 2025 года, выявило десять образцов программ под названиями TerraStealerV2 и TerraLogger. Обе находятся на ранней стадии и пока не обладают тем уровнем скрытности, который обычно характерен для продуктов Golden Chickens.

Первый инструмент, TerraStealerV2, нацелен на работу с базой данных Chrome "Login Data". Программа извлекает оттуда сохраненные пароли и данные расширений браузера, однако пока не способна обойти защитный механизм Application Bound Encryption (ABE). Эта система шифрования, внедренная в Chrome в середине 2024 года, обеспечивает защиту учетных данных на системном уровне. Неспособность обхода ABE указывает либо на незавершенность разработки, либо на использование устаревших методов взлома.

Проникнув в систему, TerraStealerV2 передает собранную информацию через Telegram и подозрительный файлообменный домен wetransfers[.]io. Распространяется вредонос в различных форматах — LNK, MSI, DLL и EXE. В маскировке присутствия помогают легитимные системные утилиты Windows: regsvr32.exe и mshta.exe. Такой подход — эксплуатация стандартных инструментов администрирования и выполнения скриптов — позволяет обходить защитные механизмы конечных точек.

Второй инструмент, TerraLogger, представляет собой автономный модуль для записи нажатий клавиш. Программа устанавливает низкоуровневые перехватчики и сохраняет собранные данные локально, не имея встроенных каналов связи с командным центром. Аналитики предполагают, что этот компонент создан для интеграции с более сложными комплексами.

За семилетнюю историю существования Golden Chickens сформировала обширную клиентскую базу среди киберпреступников. С 2018 года услугами синдиката пользуются такие известные группировки, как FIN6, Cobalt Group и белорусская Evilnum. На счету этих команд — серия разрушительных атак на авиационную отрасль, торговые сети и финансовые учреждения по всему миру, причинивших ущерб в миллиарды долларов. А среди конкретных жертв: авиаперевозчик British Airways, торговая платформа Newegg, билетный сервис Ticketmaster UK.

Технический арсенал Golden Chickens включает целую линейку специализированных инструментов. Для первичного проникновения в системы применяется VenomLNK — модифицированный ярлык Windows. Развертывание дополнительных компонентов обеспечивает загрузчик TerraLoader. Перехват сессий TeamViewer осуществляется через TerraTV. Шифрование данных для вымогательства производится с помощью TerraCrypt. Разведку и уничтожение информации выполняют модули TerraRecon и TerraWiper. Особое место в арсенале занимает бэкдор more_eggs и его облегченная JavaScript-версия Lite_more_eggs.

Подразделение eSentire по реагированию на угрозы установило связь между Golden Chickens и хакером , действующим под псевдонимом badbullzvenom. По данным расследования, за этим никнеймом прячется целая группа злоумышленников, базирующихся в Молдове и канадском Монреале.