Die Bedrohung durch Cyberkriminalität nimmt kontinuierlich zu, wobei immer ausgefeiltere Malware zum Einsatz kommt. Eine besonders gefährliche Entwicklung stammt von der Gruppe Golden Chickens, die mit ihren neuesten Tools, insbesondere TerraStealerV2, verstärkt auf das Ausspähen von sensiblen Daten abzielt. Dabei konzentriert sich TerraStealerV2 auf den Diebstahl von Browser-Anmeldedaten, Informationen zu Krypto-Wallets sowie Daten von Browser-Erweiterungen. Diese neue Malware-Variante stellt eine erhebliche Gefahr dar, nicht nur für einzelne Nutzer, sondern auch für Unternehmen im deutschsprachigen Raum, die zunehmend auf digitale Identitäten und Kryptowährungen angewiesen sind.Golden Chickens, auch bekannt unter den Bezeichnungen TA4557 und Venom Spider, sind eine seit mindestens 2018 aktive Cybercrime-Gruppe mit finanziellen Motiven.
Die Organisation operiert nach dem Malware-as-a-Service (MaaS)-Modell und bietet ihre Schadsoftware gegen Bezahlung an, wodurch ihre Malware für eine breite Palette von Angreifern zugänglich ist. Die bekannteste Malware-Familie von Golden Chickens ist More_eggs, die in der Vergangenheit vor allem durch gezielte Spear-Phishing-Kampagnen auffiel. Diese Kampagnen richten sich häufig gegen Personalverantwortliche und nutzen gefälschte Lebensläufe, um das Vertrauen der Opfer zu gewinnen und Schadsoftware zu verbreiten.Die neuesten Angriffsstrategien der Gruppe haben sich weiterentwickelt. Der Infektionsweg erfolgt oft über Phishing-E-Mails, die angebliche Stellenangebote oder Bewerbungsdokumente enthalten.
Öffnet ein Nutzer den Link beziehungsweise das angebliche Dokument, etwa eine Windows-Verknüpfung (LNK-Datei), wird im Hintergrund ein komplexer Angriff ausgelöst. Ein Batch-Skript startet dabei eine Köderdokumentation, während eine JavaScript-Malware verdeckt weitere Schadsoftware auf dem Rechner installiert. Diese JavaScript-Malware zieht einen More_eggs_Dropper nach, der eine DLL-Datei lädt, welche wiederum TerraLoader ausführt. TerraLoader entschlüsselt schließlich die More_eggs-Malware und startet sie, sodass die Infektion aktiv wird.TerraStealerV2, das neueste Werkzeug aus dem Arsenal von Golden Chickens, ist darauf ausgelegt, besonders sensible Informationen abzugreifen.
Die Malware kann Browser-Credentials aus dem Chrome-Browser auslesen, wobei sich hierbei auch Daten aus der „Login Data“-Datenbank im Fokus befinden. Besonders erschreckend ist die Fähigkeit der Malware, Zugangsdaten und Schlüssel von Kryptowährungs-Wallets aus den Systemen der Opfer zu stehlen. Zusätzlich sammelt TerraStealerV2 Informationen über installierte Browser-Erweiterungen, was auf ein vollständiges Profil der Zielperson hindeutet, um weitere Attacken zu ermöglichen oder Identitätsdiebstahl durchzuführen.Die Verbreitung von TerraStealerV2 erfolgt in unterschiedlichen Formen. Malware-Varianten werden als ausführbare Dateien (EXEs), dynamische Linkbibliotheken (DLLs), Windows-Installer-Pakete (MSIs) und Verknüpfungsdateien (LNKs) verteilt.
Interessanterweise laden alle diese Varianten den eigentlichen Schadcode in Form eines sogenannten OCX-Payloads, der von einer externen Domain namens wetransfers[.]io abgerufen wird. Dabei handelt es sich um eine Strategie, um die Erkennung durch Sicherheitsprogramme zu erschweren, denn der eigentliche Schadcode sitzt nicht direkt in den Dateien, die per Phishing zugestellt werden.Ein Schwachpunkt von TerraStealerV2 besteht darin, dass die Malware nicht in der Lage ist, neuere Sicherheitsmechanismen wie die Application Bound Encryption (ABE) von Chrome zu umgehen, die seit Juli 2024 in den Browser integriert ist. Dieses Ergebnis legt nahe, dass der Schadcode von TerraStealerV2 noch nicht vollständig ausgereift ist oder sich noch in der Entwicklung befindet.
Dennoch reicht die Funktionalität bereits aus, um viele sensible Daten erfolgreich abzugreifen, was die Gefährlichkeit der Malware nicht mindert.Ein weiteres interessantes Detail ist, dass TerraStealerV2 seine gestohlenen Informationen sowohl an Telegram als auch an die Domain wetransfers[.]io sendet. Die Nutzung von Telegram als Datenübertragungskanal ist ungewöhnlich, aber effektiv, weil dieser Messenger-Dienst als sicher und vertrauenswürdig gilt. Darüber hinaus verwendet TerraStealerV2 vertrauenswürdige Windows-Systemprogramme wie regsvr32.
exe und mshta.exe, um seine Aktivitäten zu tarnen. Diese Vorgehensweise stellt eine gängige Technik zur Umgehung von Antiviren- und Intrusion-Detection-Systemen dar, da jene Programme für legitime Aufgaben im Betriebssystem benötigt werden.Parallel dazu hat die Gruppe Golden Chickens auch TerraLogger entwickelt, einen reinen Keylogger, der ebenfalls als OCX-Datei übermittelt wird. TerraLogger zeichnet Tastenanschläge auf, exfiltriert die Daten aber nicht eigenständig.
Dies deutet darauf hin, dass TerraLogger entweder noch in einem frühen Entwicklungsstadium ist oder in Kombination mit anderen Malware-Komponenten eingesetzt wird, um ein umfassenderes Spionage-Ökosystem aufzubauen. Beide Malware-Produkte durchlaufen derzeit noch Entwicklungs- und Verbesserungszyklen, weshalb sie gegenwärtig nicht die elegante Tarnung und Effizienz älterer Golden Chickens-Produkte erreichen.Seit 2023 wird die Cybercrime-Gruppe Golden Chickens mit der Online-Persona badbullzvenom in Verbindung gebracht, hinter der mutmaßlich Akteure aus Kanada und Rumänien stehen. Diese Kooperationsstruktur hat es der Gruppe ermöglicht, kontinuierlich neue Tools und Malware-Varianten zu veröffentlichen. Dazu gehören nicht nur More_eggs lite, VenomLNK, TerraLoader und TerraCrypt, sondern auch der kürzlich dokumentierte RevC2-Backdoor sowie der Venom Loader, welche ebenfalls mit der Verbreitung über VenomLNK zusammenhängen.
Die Bedrohung durch Golden Chickens und ihre Malware steigt zu einem besonders kritischen Zeitpunkt, da parallel neue Stealer-Malware-Familien an Bedeutung gewinnen, wie etwa Hannibal Stealer, Gremlin Stealer und Nullpoint Stealer. Diese Malware-Sammlungen zeichnen sich durch die Fähigkeit aus, eine breite Palette an vertraulichen Daten abzugreifen und an kontrollierte Server weiterzuleiten. Die Konkurrenz unter Malware-Entwicklern und die immer raffinierteren Funktionen erlauben Cyberkriminellen umfassendere Angriffsmöglichkeiten.In diesem Kontext ist auch der Wettbewerb in der Stealer-Malware-Branche sichtbar, so wurde etwa die StealC-Familie aktualisiert und um neue Funktionalitäten ergänzt. Version 2.
2.4 führt ein vereinfachtes, verschlüsseltes Command-and-Control-Protokoll ein und unterstützt unter anderem die Verteilung über PowerShell-Skripte und Microsoft Installer (MSI)-Pakete. Darüber hinaus verfügen Angreifer mit einem neu gestalteten Kontrollpanel über erweiterte Werkzeuge, etwa um Nutzungsregeln anhand von Geolocation, Hardware-IDs oder installierten Programmen anzupassen. Auch Funktionen wie Bildschirmaufnahmen auf mehreren Monitoren, das Sammeln von Dateien und serverseitiges Brute-Forcing für Zugangsdaten sind integriert. Die Integration von Telegram-Bots ermöglicht zudem automatische Benachrichtigungen über Erfolge beim Datenklau.
Neben StealC wurde auch die Malware Lumma Stealer überarbeitet. Die neue Version LUMMAC.V2 ist in C++ geschrieben und nutzt populäre Social-Engineering-Techniken mit falschen Angeboten für Crack-Software, Filme oder Musikdownloads via ClickFix. Lumma zielt nicht nur auf Browser und Krypto-Wallets ab, sondern auch auf Passwortmanager, Remote-Desktop-Programme, E-Mail-Clients und Messaging-Dienste. Alle abgefangenen Daten werden als ZIP-Archiv über HTTP an die Betreiber verschickt.
Diese vielfältigen Angriffsstrategien zeigen, wie raffiniert und umfangreich moderne Malware ist. Für den Endnutzer, aber vor allem für Unternehmen ist es heute wichtiger denn je, ein mehrschichtiges Sicherheitskonzept aufzubauen und auf neueste Schutztechnologien zu setzen. Spezifische Maßnahmen können etwa die Sensibilisierung der Mitarbeitenden im Umgang mit Phishing-Mails, die regelmäßige Aktualisierung der eingesetzten Software und Browser, der Einsatz von Endpoint-Security-Lösungen sowie Netzwerküberwachung umfassen. Insbesondere im Bereich Kryptowährungen sind Sensibilisierung und Schutz essenziell, da der Diebstahl von Wallet-Daten unmittelbare finanzielle Schäden nach sich ziehen kann.Darüber hinaus empfiehlt sich die Überwachung verdächtiger Aktivitäten, vor allem unter Nutzung von Tools, die auf ungewöhnliches Verhalten von Systemprozessen achten oder verdächtige Kommunikationswege identifizieren können.
Da Malware wie TerraStealerV2 bekannte Windows-Programme für ihre Tarnung nutzt, sind präzise Erkennungsmechanismen auf Host- und Netzwerkebene entscheidend. Ergänzend dazu sollte die Verschlüsselung sensibler Daten intern so gestaltet sein, dass auch im Falle eines erfolgreichen Diebstahls nur eingeschränkter Zugriff auf wichtige Informationen möglich ist.Die Entwicklung solcher Malware bleibt dynamisch. Die Analyse von TerraStealerV2 und TerraLogger hat gezeigt, dass die Golden Chickens Gruppe weiterhin ihre Fähigkeiten ausbaut und vermutlich bald mit noch ausgereifteren Tools aufwarten wird. Die Sicherheitscommunity steht vor der Herausforderung, sich frühzeitig auf diese Gefahren einzustellen, neue Erkennungsmethoden zu entwickeln und umfassende Präventionskonzepte zu fördern.
