Malwares TerraStealerV2 e TerraLogger

Golden Chickens retorna com os malwares TerraStealerV2 e TerraLogger

O grupo cibercriminoso Golden Chickens, também conhecido como Venom Spider, ressurgiu com novos instrumentos perigosos no seu arsenal de Malware as a Service (MaaS). As ferramentas mais recentes  TerraStealerV2 e TerraLogger foram projetadas para roubar informações sensíveis, desde credenciais de login até dados de carteiras de criptomoedas e extensões de navegador.

 

Quem são os Golden Chickens?

Historicamente associados ao malware More_eggs, os Golden Chickens são conhecidos por fornecer ferramentas cibernéticas sob demanda, permitindo que cibercriminosos menos sofisticados conduzam campanhas avançadas de infecção e exfiltração de dados. Com o lançamento de TerraStealerV2 e TerraLogger, o grupo demonstra uma evolução clara na modularidade e foco em furtividade.

 

TerraStealerV2 é um ladrão de dados completo

Ele é um malware de coleta de dados projetado para varrer sistemas infectados em busca de:

  • Credenciais armazenadas em navegadores

  • Dados de carteiras de criptomoedas

  • Informações de extensões de navegador

  • Cookies e histórico de navegação

 

Diferente do TerraStealer, o TerraLogger é um keylogger, um tipo de malware projetado para capturar pressionamentos de tecla da vítima. Embora pareça menos sofisticado, ele pode ser parte de um módulo maior, onde os dados capturados são enviados por outros mecanismos do conjunto de ferramentas.

 

Com características em comum, modularidade e MaaS

O fato de o TerraLogger não possuir exfiltração direta de dados reforça a ideia de que ele é usado como módulo em um sistema mais amplo. Essa abordagem modular torna o malware mais flexível e reutilizável em diferentes campanhas.

Além disso, como parte de um modelo de Malware como Serviço, esses componentes podem ser alugados ou vendidos separadamente, aumentando o alcance e o impacto das operações do Golden Chickens.

 

Como se proteger

  • Mantenha o sistema operacional e navegadores atualizados

  • Use antivírus com detecção heurística e comportamental

  • Evite baixar anexos ou clicar em links suspeitos

  • Utilize gerenciadores de senhas externos aos navegadores

  • Monitore processos em segundo plano com ferramentas como Process Hacker

 

A seguir, exploraremos três técnicas de mitigação em Python para ajudar a se proteger contra essas ameaças.

 

1. Detecção de keyloggers com monitoramento de teclado

O TerraLogger registra todas as teclas pressionadas, tornando essencial a detecção de processos suspeitos. Podemos usar Python para monitorar atividades de teclado e bloquear comportamentos maliciosos.

 

Exemplo: Verificação de processos suspeitos

import psutil

def detect_keyloggers():
    suspicious_processes = ["keylogger", "terra", "logger", "stealer"]
    for proc in psutil.process_iter(['name']):
        if any(susp_keyword in proc.info['name'].lower() for susp_keyword in 
suspicious_processes):
            print(f"[!] Processo suspeito encontrado: {proc.info['name']}")
            proc.kill()  # Encerra o processo malicioso

detect_keyloggers()

Como funciona?

  • Usa a biblioteca psutil para listar processos em execução.

  • Verifica se há nomes suspeitos (como “terra” ou “logger”).

  • Se detectado, encerra o processo automaticamente.

 

2. Análise de tráfego de rede para detectar exfiltração de dados

O TerraStealerV2 envia dados roubados para servidores C2 (Command and Control). Podemos usar Python para monitorar conexões suspeitas.

 

Exemplo: Monitoramento de conexões ativas

import socket
from datetime import datetime

def monitor_network_connections():
    suspicious_ips = ["185.143.223.", "45.9.148."]  # IPs conhecidos do Golden Chickens
    connections = psutil.net_connections()
    
    for conn in connections:
        if conn.raddr and any(conn.raddr.ip.startswith(ip) for ip in suspicious_ips):
            print(f"[ALERTA] Conexão suspeita para {conn.raddr.ip} às {datetime.now()}")
            # Bloqueia a conexão (pode ser integrado com firewall)

monitor_network_connections()

Como funciona?

  • Analisa conexões ativas em busca dDetectar e encerrar keyloggers
    Bloquear conexões suspeitas
    Remover extensões maliciosase IPs maliciosos conhecidos.

  • Gera um alerta se detectar comunicação com servidores C2.

  • Pode ser integrado com um firewall para bloquear automaticamente.

 

3. Verificação de extensões maliciosas no navegador

O TerraStealerV2 rouba dados de extensões de navegador (como MetaMask). Podemos usar Python para verificar extensões instaladas.

 

Exemplo: Análise de extensões do chrome

import os
import json

def check_malicious_extensions():
    chrome_path = os.path.expanduser("~") + "/AppData/Local/Google/Chrome/User 
Data/Default/Extensions"
    malicious_extensions = ["abcdefghijklmnopqrstuvwxyz123456"]  # IDs de extensões maliciosas
    
    if os.path.exists(chrome_path):
        for ext_id in os.listdir(chrome_path):
            if ext_id in malicious_extensions:
                print(f"[!] Extensão maliciosa encontrada: {ext_id}")
                # Remove a extensão automaticamente
                os.system(f"rmdir /s /q \"{chrome_path}\\{ext_id}\"")

check_malicious_extensions()

Como funciona?

  • Verifica a pasta de extensões do Chrome no Windows.

  • Compara com uma lista de IDs de extensões maliciosas.

  • Remove automaticamente se detectada.

 

Conclusão: Como se proteger?

Os malwares TerraStealerV2 e TerraLogger são ameaças persistentes, mas com técnicas de monitoramento em Python, podemos:

  • Detectar e encerrar keyloggers
  • Bloquear conexões suspeitas
  • Remover extensões maliciosas

 

A automação de defesa é essencial contra grupos como o Golden Chickens, que estão sempre evoluindo suas táticas.

Dica extra: Combine essas técnicas com um antivirus comportamental e firewalls baseados em IA para maior proteção.

 

Fonte e imagens: https://thehackernews.com/2025/05/weekly-recap-zero-day-exploits.html