Un actor de amenazas relacionado con el crimeware conocido como Pandilla Haskers ha lanzado un malware de robo de información llamado ZingoStealer de forma gratuita, lo que permite que otros grupos criminales aprovechen la herramienta para fines nefastos.
“Tiene la capacidad de robar información confidencial de las víctimas y puede descargar malware adicional a los sistemas infectados”, los investigadores de Cisco Talos, Edmund Brumaghin y Vanja Svajcer. dicho en un informe compartido con The Hacker News.
“En muchos casos, esto incluye la Ladrón de línea roja y un malware de minería de criptomonedas basado en XMRig que se conoce internamente como ‘ZingoMiner'”.
Pero en un giro interesante, el grupo criminal anunció el jueves que la propiedad del proyecto ZingoStealer está cambiando de manos a un nuevo actor de amenazas, además de ofrecer vender el código fuente por un precio negociable de $500.
Desde su inicio el mes pasado, se dice que ZingoStealer está experimentando un desarrollo constante y se implementa específicamente contra las víctimas de habla rusa al empaquetarlo como trucos de juegos y software pirateado. Se sabe que Haskers Gang está activo desde al menos enero de 2020.
Además de recopilar información confidencial, como credenciales, robar información de billeteras de criptomonedas y extraer criptomonedas en los sistemas de las víctimas, el malware aprovecha Telegram como un canal de exfiltración y una plataforma para distribuir actualizaciones.
Los clientes del producto pueden optar por pagar alrededor de $3 para encerrar el malware en una encriptador llamado ExoCrypt que permite evadir las defensas antivirus sin tener que depender de una solución de cifrado de terceros.
La incorporación del software de minería de criptomonedas XMRig en el ladrón, dijeron los investigadores, es un intento por parte del autor del malware de monetizar aún más sus esfuerzos mediante el uso de sistemas infectados por afiliados para generar monedas Monero.
Las campañas maliciosas que entregan el malware toman la forma de una utilidad de modificación de juegos o un crack de software, y los actores de amenazas publican videos de YouTube que anuncian las características de las herramientas y su descripción, incluido un enlace a un archivo alojado en Google Drive o Mega que contiene el Carga útil de ZingoStealer.
Dicho esto, Cisco Talos señaló que los ejecutables también se alojan en Discord CDN, lo que aumenta la posibilidad de que el ladrón de información se esté diseminando dentro de los servidores de Discord relacionados con los juegos.
ZingoStealer, por su parte, está diseñado como un binario .NET que es capaz de recopilar metadatos del sistema e información almacenada por navegadores web como Google Chrome, Mozilla Firefox, Opera y Opera GX, al mismo tiempo que extrae detalles de las billeteras de criptomonedas.
Además, el malware está equipado para implementar malware secundario a discreción del atacante, como RedLine Stealer, un ladrón de información más rico en funciones que saquea datos de varias aplicaciones, navegadores y carteras y extensiones de criptomonedas. Potencialmente, esto puede explicar por qué los autores de malware están ofreciendo ZingoStealer de forma gratuita a cualquier adversario.
“Los usuarios deben ser conscientes de las amenazas que representan este tipo de aplicaciones y deben asegurarse de que solo ejecutan aplicaciones distribuidas a través de mecanismos legítimos”, dijeron los investigadores.