Un acteur malveillant lié aux logiciels criminels connu sous le nom de Gang des Haskers a publié gratuitement un logiciel malveillant de vol d’informations appelé ZingoStealer, permettant à d’autres groupes criminels d’exploiter l’outil à des fins néfastes.
« Il offre la possibilité de voler des informations sensibles aux victimes et de télécharger des logiciels malveillants supplémentaires sur les systèmes infectés », ont déclaré les chercheurs de Cisco Talos, Edmund Brumaghin et Vanja Svajcer. mentionné dans un rapport partagé avec The Hacker News.
« Dans de nombreux cas, cela inclut la Voleur RedLine et un logiciel malveillant d’extraction de crypto-monnaie basé sur XMRig, appelé en interne « ZingoMiner ».
Mais dans une tournure intéressante, le groupe criminel a annoncé jeudi que la propriété du projet ZingoStealer changeait de main à un nouvel acteur menaçant, en plus de proposer de vendre le code source pour un prix négociable de 500 $.
Depuis sa création le mois dernier, ZingoStealer serait en cours de développement constant et déployé spécifiquement contre les victimes russophones en le présentant comme des tricheurs de jeux et des logiciels piratés. Haskers Gang est connu pour être actif depuis au moins janvier 2020.
Outre la collecte d’informations sensibles telles que les informations d’identification, le vol d’informations sur le portefeuille de crypto-monnaie et l’extraction de crypto-monnaie sur les systèmes des victimes, le logiciel malveillant exploite Telegram à la fois comme canal d’exfiltration et comme plate-forme pour distribuer les mises à jour.
Les clients du produit peuvent choisir de payer environ 3 $ pour enfermer le logiciel malveillant dans un fichier personnalisé. crypteur appelé ExoCrypt qui permet d’échapper aux défenses antivirus sans avoir à s’appuyer sur une solution de cryptage tierce.
L’incorporation du logiciel d’extraction de crypto-monnaie XMRig dans le voleur, ont déclaré les chercheurs, est une tentative de la part de l’auteur du logiciel malveillant de monétiser davantage ses efforts en utilisant des systèmes infectés par des affiliés pour générer des pièces Monero.
Les campagnes malveillantes diffusant le logiciel malveillant prennent la forme d’un utilitaire de modification de jeu ou d’un crack de logiciel, les acteurs de la menace publiant des vidéos YouTube annonçant les fonctionnalités des outils et leur description, y compris un lien vers un fichier d’archive hébergé sur Google Drive ou Mega qui contient le Charge utile ZingoStealer.
Cela dit, Cisco Talos a souligné que les exécutables sont également hébergés sur le CDN Discord, ce qui soulève la possibilité que l’infostealer soit diffusé sur les serveurs Discord liés aux jeux.
ZingoStealer, pour sa part, est conçu comme un binaire .NET capable de collecter les métadonnées du système et les informations stockées par les navigateurs Web tels que Google Chrome, Mozilla Firefox, Opera et Opera GX, tout en siphonnant les détails des portefeuilles de crypto-monnaie.
De plus, le logiciel malveillant est équipé pour déployer un logiciel malveillant secondaire à la discrétion de l’attaquant, tel que RedLine Stealer, un voleur d’informations plus riche en fonctionnalités qui pille les données de diverses applications, navigateurs et portefeuilles et extensions de crypto-monnaie. Cela peut potentiellement expliquer pourquoi les auteurs de logiciels malveillants offrent ZingoStealer gratuitement à n’importe quel adversaire.
« Les utilisateurs doivent être conscients des menaces posées par ces types d’applications et doivent s’assurer qu’ils n’exécutent que des applications distribuées via des mécanismes légitimes », ont déclaré les chercheurs.