Haskers团伙将ZingoStealer恶意软件免费提供给其他网络罪犯

一个名为Haskers Gang的与犯罪软件相关的威胁行为者免费发布了一种名为 ZingoStealer 的信息窃取恶意软件，允许其他犯罪集团利用该工具进行邪恶目的。

Cisco Talos研究人员Edmund Brumaghin和Vanja Svajcer在与《黑客新闻》分享的一份报告中表示：“它的特点是能够窃取受害者的敏感信息，并可以将其他恶意软件下载到受感染的系统”。

“在许多情况下，这包括RedLine Stealer和一个基于XMRig的加密货币挖掘恶意软件，内部称为ZingoMiner”。

但一个有趣的转折是，该犯罪集团周四宣布，ZingoStealer 项目的所有权正在转手给一个新的威胁参与者，此外还提出以 500 美元的可协商价格出售源代码。

自上个月成立以来，据说 ZingoStealer 一直在进行持续开发，并通过将其包装为游戏作弊和盗版软件专门针对讲俄语的受害者进行部署。众所周知，Haskers Gang 至少从 2020 年 1 月开始就活跃起来。

除了获取凭证等敏感信息、窃取加密货币钱包信息以及在受害者系统上挖掘加密货币外，该恶意软件还利用电报作为过滤渠道和发布更新的平台。

该产品的客户可以选择支付大约3美元将恶意软件封装在一个名为ExoCrypt的自定义加密程序中，这样就可以避免防病毒防御，而不必依赖第三方加密程序解决方案。

研究人员表示，将XMRig加密货币挖掘软件纳入窃贼的行为是恶意软件作者的一种尝试，目的是通过使用受关联公司感染的系统来生成Monero硬币，从而进一步将他们的努力货币化。

传递恶意软件的恶意活动采取游戏修改实用程序或软件破解的形式，威胁参与者在YouTube上发布视频，宣传这些工具的功能及其描述，包括指向托管在Google Drive或Mega上的档案文件的链接，其中包含ZingoStealer负载。

尽管如此，Cisco Talos指出，可执行文件也被托管在Discord CDN上，这增加了infostealer在游戏相关Discord服务器中传播的可能性。

ZingoStealer就其自身而言，被塑造成一个。NET二进制文件，能够收集系统元数据和网络浏览器（如Google Chrome、Mozilla Firefox、Opera和Opera GX）存储的信息，同时还能从加密货币钱包中提取详细信息。

此外，该恶意软件还可以根据攻击者的判断部署二级恶意软件，例如RedLine Stealer，这是一个功能更丰富的信息窃取者，可以从各种应用程序、浏览器和加密货币钱包和扩展中窃取数据。这可能可以解释为什么恶意软件作者向任何对手免费提供ZingoStealer。

研究人员说：“用户应该意识到这些类型的应用程序所构成的威胁，并应确保他们只执行通过合法机制分发的应用程序”。