Ein krimineller Akteur, der sich Haskers Gang nennt, hat eine Malware namens ZingoStealer veröffentlicht, die Informationen stiehlt und es anderen kriminellen Gruppen ermöglicht, das Tool für ihre Zwecke zu nutzen.
„Sie ist in der Lage, sensible Informationen von Opfern zu stehlen und zusätzliche Malware auf infizierte Systeme herunterzuladen“, so die Cisco Talos-Forscher Edmund Brumaghin und Vanja Svajcer in einem Bericht, der The Hacker News vorliegt.
„In vielen Fällen handelt es sich dabei um den RedLine Stealer und eine XMRig-basierte Malware zum Schürfen von Kryptowährungen, die intern als ‚ZingoMiner‘ bezeichnet wird.
Am Donnerstag gab die kriminelle Gruppe jedoch bekannt, dass das ZingoStealer-Projekt in den Besitz eines neuen Akteurs übergeht, und bot außerdem an, den Quellcode für einen verhandelbaren Preis von 500 US-Dollar zu verkaufen.
Seit seinem Start im letzten Monat wird ZingoStealer angeblich ständig weiterentwickelt und speziell gegen russischsprachige Opfer eingesetzt, indem er als Spiele-Cheats und raubkopierte Software verpackt wird. Es ist bekannt, dass die Haskers Gang mindestens seit Januar 2020 aktiv ist.
Die Malware sammelt nicht nur sensible Daten wie Anmeldeinformationen, stiehlt Kryptowährungs-Wallet-Informationen und schürft Kryptowährung auf den Systemen der Opfer, sondern nutzt Telegram auch als Exfiltrationskanal und als Plattform für die Verteilung von Updates.
Kunden des Produkts können gegen eine Gebühr von etwa 3 US-Dollar die Malware in einen eigenen Verschlüsselungscode namens ExoCrypt verpacken, der es ermöglicht, Antivirenprogramme zu umgehen, ohne auf eine Verschlüsselungslösung eines Drittanbieters angewiesen zu sein.
Die Einbindung der XMRig-Software zum Schürfen von Kryptowährungen in den Stealer ist laut den Forschern ein Versuch der Malware-Autoren, ihre Bemühungen zu finanzieren, indem sie die von den Partnern infizierten Systeme nutzen, um Monero-Münzen zu generieren.
Die bösartigen Kampagnen, die die Malware verbreiten, haben die Form eines Dienstprogramms zur Modifizierung von Spielen oder eines Software-Cracks. Die Bedrohungsakteure posten YouTube-Videos, in denen sie die Funktionen und die Beschreibung des Tools anpreisen, einschließlich eines Links zu einer Archivdatei, die auf Google Drive oder Mega gehostet wird und die die ZingoStealer-Nutzlast enthält.
Cisco Talos wies jedoch darauf hin, dass die ausführbaren Dateien auch auf dem Discord CDN gehostet werden, was darauf hindeutet, dass der Infostealer auf Discord-Servern mit Spielbezug verbreitet wird.
ZingoStealer ist eine .NET-Binärdatei, die in der Lage ist, System-Metadaten und Informationen zu sammeln, die von Webbrowsern wie Google Chrome, Mozilla Firefox, Opera und Opera GX gespeichert werden, und auch Daten aus Kryptowährungs-Wallets abzugreifen.
Darüber hinaus ist die Malware in der Lage, nach dem Ermessen des Angreifers sekundäre Malware einzusetzen, wie z. B. RedLine Stealer, einen funktionsreicheren Informationsdieb, der Daten aus verschiedenen Anwendungen, Browsern, Kryptowährungs-Wallets und Erweiterungen stiehlt. Dies könnte eine Erklärung dafür sein, warum die Malware-Autoren ZingoStealer kostenlos für alle Angreifer anbieten.
„Die Nutzer sollten sich der Gefahren bewusst sein, die von dieser Art von Anwendungen ausgehen, und sicherstellen, dass sie nur Anwendungen ausführen, die über legitime Mechanismen verbreitet werden“, so die Forscher.