# TerraStealer > [!high] Infostealer MaaS do Ecossistema Golden Chickens - Credenciais de Browsers e Carteiras Crypto > TerraStealerV2 é a versão mais recente do infostealer da plataforma **Golden Chickens (Venom Spider)**, usado por grupos como FIN6, Cobalt Group e Evilnum. Rouba credenciais de browsers, dados de extensões de carteiras crypto e informações do sistema, exfiltrando via Telegram e serviços de transferência de arquivos. ## Visão Geral TerraStealer (formalmente TerraStealerV2) é um infostealer da plataforma Malware-as-a-Service (MaaS) Golden Chickens, operada pelo ator "Venom Spider". Documentado pela Recorded Future em campanhas de janeiro a abril de 2025, o malware rouba credenciais de browsers via consultas SQL ao banco Chrome, dados de extensões de carteiras de criptomoedas e informações do sistema, exfiltrando via Telegram e o domínio typosquatting `wetransfers[.]io`. O ecossistema Golden Chickens inclui outros componentes como TerraLogger, TerraTV, TerraCrypt e TerraWiper, todos distribuídos via o loader VenomLNK. O TerraStealer é comercializado para grupos de alto perfil como [[fin6]], [[cobalt-group]] e [[g0120-evilnum]], tornando-o uma ferramenta compartilhada por diferentes operações criminosas focadas no setor financeiro. Uma limitação técnica relevante: o malware não consegue decriptar credenciais protegidas pelo Application-Bound Encryption (ABE) do Chrome, introduzido em julho de 2024 — indicando que o código está desatualizado ou em desenvolvimento ativo para contornar essa proteção. > [!latam] Relevância para Brasil e LATAM > O ecossistema Golden Chickens tem o setor financeiro como alvo central, e o Brasil — com um dos maiores e mais dinâmicos setores bancários do mundo — é um alvo natural. O [[fin6]] e o [[cobalt-group]] têm histórico documentado de ataques contra bancos latino-americanos e sistemas de pagamento. O vetor de spear-phishing com iscas de CV é especialmente relevante no Brasil, onde o LinkedIn e o Catho têm alta penetração em organizações financeiras. A exfiltração via Telegram também é difícil de bloquear no Brasil, um dos maiores mercados globais da plataforma. ## Descrição TerraStealer (formalmente TerraStealerV2) é um componente da plataforma de **Malware-as-a-Service (MaaS) Golden Chickens**, operada pelo ator de ameaça conhecido como "Venom Spider". A Golden Chickens fornece um ecossistema completo de ferramentas para crimes cibernéticos financeiros desde pelo menos 2018, com clientes incluindo grupos de alto perfil como [[fin6]], [[cobalt-group]] e [[g0120-evilnum]]. O TerraStealerV2 foi documentado pela Recorded Future em campanhas observadas de janeiro a abril de 2025. Foca em roubo de credenciais de browsers (especialmente Chrome via consultas SQL diretas ao banco de dados `Login Data`), dados de extensões de carteiras de criptomoedas, e informações do sistema. Uma limitação técnica notável: o TerraStealerV2 **não consegue decriptar credenciais protegidas pelo Application-Bound Encryption (ABE)** do Chrome, introduzido em julho de 2024, sugerindo que o código está desatualizado ou em desenvolvimento ativo para contornar essa proteção. A exfiltração dos dados roubados usa canais não convencionais: **Telegram** (via bot da API) e o domínio `wetransfers[.]io` (typosquatting do serviço legítimo WeTransfer). Essa abordagem permite que os dados cheguem aos operadores mesmo quando o tráfego C2 direto está bloqueado por firewalls corporativos. A entrega do TerraStealer usa o componente **VenomLNK** - um arquivo de atalho Windows (.LNK) malicioso - que aciona o **TerraLoader** para carregar o payload. O TerraLoader também é responsável por distribuir outros componentes do ecossistema Golden Chickens: **TerraTV** (hijack do TeamViewer), **TerraLogger** (keylogger standalone), **TerraCrypt** (ransomware), **TerraRecon** (reconhecimento) e **TerraWiper** (wiper). A entrega é feita via spear-phishing com iscas de currículos e ofertas de emprego, otimizada para enganar funcionários do setor financeiro. O TerraStealer usa **regsvr32.exe** e **mshta.exe** como Living-off-the-Land binaries (LOLBins) para execução, evitando a criação de processos suspeitos. O código passa por XOR deobfuscation em tempo de execução, e realiza verificações anti-análise antes de iniciar a coleta. Versões mais recentes incluem customização de payload por geolocalização, HWID e software instalado, além de screenshots multi-monitor. ## Técnicas Utilizadas | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1566-phishing\|T1566]] | Spear-phishing com iscas de CV/ofertas de emprego (setor financeiro) | | Execution | [[t1204-002-malicious-file\|T1204.002]] | Usuário executa VenomLNK (atalho malicioso) | | Execution | [[t1218-010-regsvr32\|T1218.010]] | LOLBin regsvr32.exe para executar DLL payload | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Strings XOR-ofuscadas, anti-análise, anti-sandbox | | Defense Evasion | [[t1140-deobfuscate-decode-files-or-information\|T1140]] | Deofuscação XOR em runtime | | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | SQL direto ao banco Chrome Login Data para credenciais | ## Grupos que Usam - [[g0120-evilnum]] - cliente Golden Chickens, ataques contra plataformas financeiras e fintechs - [[fin6]] - cliente Golden Chickens, ataques contra varejo e hospitalidade - [[cobalt-group]] - cliente Golden Chickens, ataques contra bancos ## Detecção 1. **Monitorar regsvr32.exe com argumentos de DLL de caminhos incomuns** - o TerraLoader usa `regsvr32.exe` para carregar DLLs fora de `System32`. Regras Sigma para `regsvr32.exe` executando DLLs de `%TEMP%`, `%APPDATA%` ou diretórios de usuário são eficazes para detectar o ecossistema Golden Chickens. 2. **Detectar acesso ao arquivo Login Data do Chrome por processos não relacionados** - o roubo de credenciais via SQL direto ao `Login Data` é detectável quando qualquer processo além do próprio Chrome abre esse arquivo. Sysmon Event ID 11 (File Create) com filtros por caminho e processo cobre esse caso. 3. **Alertar para tráfego de saída para API do Telegram por processos suspeitos** - a exfiltração via `api.telegram.org` por processos não relacionados a aplicações de mensagens legítimas é um indicador forte. Filtrar tráfego HTTPS por processo de origem em soluções de inspeção SSL. 4. **Monitorar execução de arquivos LNK com linha de comando anômala** - o VenomLNK usa arquivos de atalho que executam comandos PowerShell ou batch ofuscados. Detectar via Sysmon Event ID 1 quando o processo pai é `explorer.exe` e o filho é `cmd.exe` ou `powershell.exe` com argumentos codificados. ## Relevância LATAM/Brasil O ecossistema Golden Chickens tem como alvo principal o setor financeiro, e o Brasil - com um dos maiores e mais dinâmicos setores bancários do mundo - é um alvo natural. O [[fin6]] e o [[cobalt-group]], clientes conhecidos da plataforma Golden Chickens, têm histórico documentado de ataques contra bancos latino-americanos e sistemas de pagamento. O vetor de spear-phishing com iscas de CV é especialmente relevante no contexto brasileiro, onde plataformas de emprego como LinkedIn e Catho têm alta penetração em organizações financeiras. A exfiltração via Telegram também é relevante: o Brasil é um dos maiores mercados do Telegram globalmente, tornando o tráfego para a API do Telegram mais difícil de bloquear sem impacto operacional. ## Referências - [1](https://www.recordedfuture.com/research/terrastealerv2-and-terralogger) Recorded Future - TerraStealerV2 and TerraLogger (2025) - [2](https://thehackernews.com/2025/05/golden-chickens-deploy-terrastealerv2.html) The Hacker News - Golden Chickens Deploy TerraStealerV2 (2025) - [3](https://socprime.com/blog/detect-terrastealerv2-terralogger-attacks-by-golden-chickens/) SOC Prime - Detect TerraStealerV2 Attacks (2025) - [4](https://quointelligence.eu/2020/01/the-chicken-keeps-laying-new-eggs-uncovering-new-gc-maas-tools-used-by-top-tier-threat-actors/) QuoIntelligence - Golden Chickens MaaS Tools (2020) - [5](https://blog.polyswarm.io/venom-spider-using-new-terrastealerv2-and-terralogger-malware) PolySwarm - Venom Spider TerraStealerV2 (2025)