Des chercheurs en cybersécurité ont récemment découvert que le groupe de cybercriminels Golden Chickens a lancé deux nouveaux malwares sophistiqués conçus pour voler des identifiants de connexion dans les navigateurs internet et des données de portefeuilles cryptographiques. Dénommés TerraStealerV2 et TerraLogger, ces logiciels malveillants montrent clairement que l’arsenal offensif de ce groupe reste en développement actif. Ces menaces représentent un danger croissant pour les utilisateurs de cryptomonnaies et soulignent l’importance de renforcer la sécurité de son système informatique face aux nouvelles techniques de vol d’informations personnelles.
Golden Chickens : un acteur majeur de la cybercriminalité financière
Un historique lié à More_eggs et une offre MaaS
Connu également sous le nom de Venom Spider, le groupe Golden Chickens est actif depuis au moins 2018. Il est réputé pour proposer des malwares en tant que service (MaaS), permettant à d’autres cybercriminels de les utiliser contre rémunération. Parmi les créations notoires de ce groupe, on trouve More_eggs et ses dérivés tels que lite_more_eggs, VenomLNK, TerraLoader et TerraCrypt.
Une identité en ligne suspectée
Depuis 2023, le groupe est associé à un profil en ligne nommé badbullzvenom, qui serait administré conjointement par des individus situés au Canada et en Roumanie. Cette entité est derrière une série d’activités malveillantes, notamment via l’implant appelé RevC2 et le loader Venom Loader.
Les nouvelles menaces TerraStealerV2 et TerraLogger
TerraStealerV2 : un voleur d’informations ciblées
Le malware TerraStealerV2 est conçu pour intercepter des données sensibles stockées dans les navigateurs web, comme les identifiants de connexion, les informations des portefeuilles de cryptomonnaies, ainsi que les métadonnées d’extensions installées. Plusieurs vecteurs sont utilisés pour propager cette menace, dont des fichiers exécutables (EXE), des bibliothèques partagées (DLL), des installateurs MSI et des fichiers LNK.
Le payload malveillant est délivré sous format OCX provenant du domaine externe « wetransfers[.]io », et il utilise des utilitaires Windows légitimes comme regsvr32.exe et mshta.exe pour contourner les systèmes de détection. Malgré des capacités de vol performantes, il ne parvient pas encore à contourner les dernières protections Chrome comme Application Bound Encryption (ABE), ce qui indique que la version reste encore en phase de développement.
Exfiltration et réseau de commandement
Les données collectées par TerraStealerV2 sont exfiltrées vers un canal Telegram ainsi que sur « wetransfers[.]io ». Ce double canal de sortie permet une récupération rapide et discrète des données confidentielles par les opérateurs malveillants.
TerraLogger : un keylogger simpliste mais potentiellement redoutable
Quant à lui, le malware TerraLogger se concentre sur l’enregistrement des frappes clavier. Il repose sur un hook clavier bas niveau mais ne possède pas de fonction d’exfiltration ou de communication C2. Son état actuel suggère qu’il est soit en phase de test, soit destiné à fonctionner avec un autre module du MaaS des Golden Chickens.
Une évolution continue des outils malveillants
Une tendance à surveiller dans l’évolution des stealers
L’apparition de malwares espions de nouvelle génération tels que Hannibal Stealer, Gremlin Stealer, ou Nullpoint Stealer met en lumière une dynamique d’innovation chez les cybercriminels. Ces outils restent centrés sur le vol d’informations personnelles et financières, en s’adaptant aux nouvelles protections mises en place par les navigateurs et systèmes d’exploitation.
La nouvelle version StealC et la sophistication croissante des outils
Un exemple concret est StealC V2, mis à jour en mars 2025. Il intègre désormais un protocole C2 optimisé, un panneau de configuration repensé, la prise en charge des scripts PowerShell ainsi que les paquets MSI. Le malware offre également des fonctionnalités avancées comme la capture multi-écrans et un grabber de fichiers unifié. Il peut être distribué via le loader Amadey, et l’exfiltration peut être effectuée via un bot Telegram.
Apprendre à hacker pour mieux se défendre
Face à la montée des menaces liées aux stealers de mots de passe et aux keyloggers, se former devient indispensable. Comprendre les mécanismes utilisés par les acteurs malveillants permet de mieux anticiper les attaques. Le guide livre pour hacker publié par CyberCare offre une approche pratique pour apprendre à hacker et se protéger contre les techniques d’intrusion.
Ce contenu est particulièrement adapté aux professionnels souhaitant renforcer leurs compétences en cybersécurité offensive ou aux passionnés souhaitant comprendre les rouages d’une cyberattaque de l’intérieur.
Les récentes découvertes sur TerraStealerV2 et TerraLogger confirment que les menaces continuent d’évoluer : CyberCare propose un accompagnement complet en cybersécurité, de l’audit technique à la formation en ligne pour anticiper ces nouvelles attaques et protéger vos données sensibles.
