Neue Malware-Familien von Golden Chickens entdeckt

5. Mai 2025

Die Cybersicherheitsforscher der Insikt Group haben zwei bislang unbekannte Malware-Familien identifiziert, die dem Bedrohungsakteur Golden Chickens – auch bekannt als Venom Spider – zugerechnet werden: TerraStealerV2 und TerraLogger. Die Gruppe ist für ihre Malware-as-a-Service-Plattform bekannt, die unter anderem von Cybercrime-Gruppen wie FIN6, Cobalt Group und Evilnum genutzt wird.

Die beiden neuen Schadprogramme wurden zwischen Januar und April 2025 erstmals beobachtet und sind offenbar auf den Diebstahl von Zugangsdaten sowie das Aufzeichnen von Tastatureingaben (Keylogging) ausgerichtet. Dies deutet auf eine aktive Weiterentwicklung des Golden-Chickens-Arsenals hin.

TerraStealerV2 zielt insbesondere auf Browser-Anmeldedaten, Informationen aus Kryptowährungs-Wallets sowie Erweiterungen in Webbrowsern ab. Zwar versucht der Stealer, die „Login Data“-Datei von Google Chrome auszulesen, scheitert jedoch an den im Juli 2024 eingeführten Schutzmechanismen wie Application Bound Encryption (ABE). Dies weist auf veralteten oder sich noch in Entwicklung befindlichen Schadcode hin. Die gesammelten Daten werden über Telegram und die Domain wetransfers[.]io exfiltriert. Die Malware wurde in unterschiedlichen Datei-Formaten wie LNK, MSI, DLL und EXE beobachtet und nutzt vertrauenswürdige Windows-Systemprogramme wie regsvr32.exe und mshta.exe, um der Entdeckung zu entgehen.

Im Gegensatz dazu handelt es sich bei TerraLogger um einen simplen Keylogger, der über einen Low-Level-Keyboard-Hook Tastenanschläge protokolliert und lokal abspeichert. Er verfügt bislang über keine Funktionen zur Datenexfiltration oder Kommunikation mit einem Command-and-Control-Server. Das legt nahe, dass es sich entweder um ein noch unfertiges Tool oder um einen Bestandteil eines modularen Malware-Ökosystems handelt.

Beide Malware-Familien wirken derzeit noch unausgereift, was im Vergleich zu früheren Golden-Chickens-Werkzeugen ungewöhnlich ist. Dennoch ist laut den Forschern mit einer raschen Weiterentwicklung zu rechnen – insbesondere im Hinblick auf die Umgehung aktueller Schutzmechanismen. Unternehmen wird dringend geraten, empfohlene Maßnahmen zur Risikominimierung umzusetzen, um möglichen Kompromittierungen zuvorzukommen.

Golden Chickens: Gefährlicher Cybercrime-Dienstleister im Hintergrund

Unter dem Decknamen Golden Chickens – auch als Venom Spider bekannt – agiert seit Jahren eine gefährliche Gruppierung im Bereich der Cyberkriminalität. Der finanziell motivierte Bedrohungsakteur betreibt ein professionelles Malware-as-a-Service-Modell (MaaS), das gezielt von anderen kriminellen Gruppen genutzt wird. Seit mindestens 2018 setzen Cyberkriminelle die modular aufgebaute Malware-Suite von Golden Chickens in raffinierten Angriffskampagnen ein, die sich gegen hochkarätige Unternehmen weltweit richten. Besonders häufig kommen dabei Social-Engineering-Taktiken zum Einsatz – etwa in Form von Spearphishing-Mails mit angeblichen Bewerbungen oder Jobangeboten.

Zu den Nutzern dieser Malware gehören bekannte Gruppen wie FIN6 und die Cobalt Group aus Russland sowie die in Belarus ansässige Gruppe Evilnum. Diese Organisationen stehen im Verdacht, weltweit Schäden in Milliardenhöhe verursacht zu haben – allein über 1,5 Milliarden US-Dollar sollen auf ihr Konto gehen.

Herzstück der Malware-Suite sind die beiden Komponenten VenomLNK und TerraLoader. Der Erstkontakt erfolgt meist über eine präparierte Windows-Verknüpfungsdatei (VenomLNK), die beim Öffnen das eigentliche Loader-Modul TerraLoader aktiviert. Dieses ist darauf spezialisiert, weitere Schadsoftware aus dem Golden-Chickens-Arsenal nachzuladen.

Zu den nachgelagerten Modulen zählen unter anderem:

• TerraStealer – zum Abgreifen von Zugangsdaten

• TerraTV – für das Hijacking von TeamViewer-Sitzungen

• TerraCrypt – zur Verbreitung von Ransomware

• TerraRecon – zur internen Netzwerkerkundung

• TerraWiper – zum gezielten Löschen von Daten

• lite_more_eggs – eine weitere, spezifische Malware-Familie innerhalb des Ökosystems

Zuvor gemeldete Malware-Familien von Golden Chickens (Quelle: Quo Intelligence)

Die hochgradige Modularität und Tarnfähigkeit machen Golden Chickens zu einem besonders schwer zu bekämpfenden Akteur auf dem digitalen Schlachtfeld der Cyberkriminalität.

Die Ermittlungen der Threat Response Unit von eSentire haben Golden Chickens mit einem Bedrohungsakteur namens badbullzvenom in Verbindung gebracht, einer Person, die vermutlich gemeinsam von Personen aus Moldawien und Montreal (Kanada) betrieben wird. Die Entwicklungsgeschichte des Bedrohungsakteurs zeigt einen Aufstieg vom einfachen Forumsteilnehmer zum etablierten MaaS-Anbieter. Die von Golden Chickens entwickelten Tools wurden in mehreren Kampagnen als Waffen eingesetzt, darunter bei hochkarätigen Angriffen auf British Airways, Newegg und Ticketmaster UK.

Zwischen August und Oktober 2024 beobachtete Zscaler ThreatLabz erneute Aktivitäten von Golden Chickens, bei denen zwei neu identifizierte Malware-Familien zum Einsatz kamen: RevC2 und Venom Loader. Diese Tools wurden über VenomLNK-Kampagnen verbreitet, wobei Social-Engineering-Köder wie Zahlungsaufforderungen in Kryptowährung und Software-API-Dokumentationen genutzt wurden. Abbildung 2 veranschaulicht die Angriffskette, die zur Verbreitung von RevC2 verwendet wurde.

Redaktion AllAboutSecurity 05.05.2025

---

Bild/Quelle: https://depositphotos.com/de/home.html

---