TerraStealer

TerraStealer é um malware oferecido como serviço por um grupo cibercriminoso conhecido como Golden Chickens. Como muitas das ferramentas fornecidas pela Golden Chickens, o TerraStealer compartilha várias semelhanças com o TerraLoader , um carregador multiuso criado em PureBasic, mas seu propósito é completamente diferente. O nome pelo qual o TerraStealer está sendo anunciado para outros grupos de hackers nos fóruns da Dark Web é SONE (Stealer One).

Uma análise cuidadosa do código subjacente realizada pelos analistas da QuoIntelligence revelou que TerraStealer é um programa de coleta de informações que visa uma ampla gama de navegadores da Web, clientes de email e ferramentas de transferência de arquivos. Muitos navegadores da Web convencionais podem se tornar vítimas do TerraStealer - Firefox, Google Chrome, Microsoft Edge e Internet Explorer (versões 4–11).

Essa ferramenta de malware em particular do Golden Chickens possui várias técnicas de anti-análise codificadas no seu comportamento, tal como verificar se está sendo executado por meio de regsvr32.exe ou odbcconf.exe. Durante sua comunicação com o servidor de Comando e Controle (C&C, C2), TerraStealer usa as seguintes strings: </sone_email>, <sone_entry>, <sone_name>, <sone_program>, <sone_protocol>, </sone_program>.

TerraStealer, em conjunto com duas outras ferramentas Golden Chickens - TerraLoader e more_eggs- foi detectado como parte de ataques cibernéticos pertencentes a vários clientes do grupo. O mais destacado é, sem dúvida, o FIN6, um ator de ameaças especializado em ataques financeiros contra sistemas de terminais de Ponto de Venda (POS), em particular.