Terbongkar, Ini Tujuan Malware ZingoStealer Digratiskan ke Cybercrime Lainnya
Haskers Gang, aktor ancaman yang berhubungan dengan kejahatan, telah mendistribusikan malware pencuri informasi gratis yang dijuluki ZingoStealer, yang memungkinkan kelompok kriminal lain menggunakan alat tersebut untuk tujuan jahat meraka.
“Itu dapat mengumpulkan informasi pribadi dari pengguna dan dapat mengunduh malware tambahan ke sistem yang terinfeksi,” kata peneliti Cisco Talos Edmund Brumaghin dan Vanja Svajcer dalam sebuah laporan.
"Ini termasuk RedLine Stealer dan malware penambangan cryptocurrency berbasis XMRig yang dikenal secara internal sebagai 'ZingoMiner.'"
Namun, dalam putaran yang tidak terduga, geng kriminal menyatakan pada hari Kamis bahwa kepemilikan proyek ZingoStealer berpindah tangan ke aktor ancaman baru, serta menawarkan untuk menjual kode sumber dengan harga $500 yang dapat dinegosiasikan.
ZingoStealer diklaim telah dikembangkan secara konstan sejak awal bulan lalu dan digunakan secara eksklusif terhadap korban berbahasa Rusia dengan menyamar sebagai cheat game dan software tanpa lisensi. The Haskers Gang telah aktif setidaknya sejak Januari 2020.
Selain mengumpulkan informasi sensitif seperti kata sandi, mencuri informasi dompet cryptocurrency, dan menambang cryptocurrency di PC korban, malware ini menggunakan Telegram sebagai saluran eksfiltrasi dan platform untuk menyebarkan pembaruan.
Pelanggan dapat menghabiskan sekitar $3 untuk membungkus malware dalam crypter dipesan lebih dahulu yang disebut ExoCrypt, yang memungkinkannya untuk menghindari pertahanan antivirus tanpa bergantung pada solusi crypter pihak ketiga.
Menurut para peneliti, dimasukkannya perangkat lunak penambangan cryptocurrency XMRig ke dalam stealer adalah upaya pembuat malware untuk lebih memonetisasi upaya mereka dengan mengeksploitasi PC yang terinfeksi oleh afiliasi untuk mendapatkan koin Monero.
Kampanye berbahaya yang mengirimkan software jahat dalam bentuk utilitas modifikasi game atau celah perangkat lunak, dengan pelaku ancaman memposting video YouTube yang mengiklankan fitur dan deskripsi alat, serta tautan ke file arsip yang dihosting di Google Drive atau Mega yang berisi muatan ZingoStealer.
Namun, Cisco Talos menunjukkan bahwa executable juga dihosting di CDN Discord, meningkatkan kemungkinan bahwa infostealer menyebar melalui server Discord terkait game.
ZingoStealer, pada bagiannya, adalah biner .NET yang mampu mengumpulkan metadata sistem dan informasi yang disimpan oleh browser web seperti Google Chrome, Mozilla Firefox, Opera, dan Opera GX, serta mencuri informasi dari dompet cryptocurrency.
Selain itu, malware ini mampu menyebarkan malware tambahan sesuai pilihan penyerang, seperti RedLine Stealer, stealer yang lebih kaya fitur mencuri data dari berbagai aplikasi, browser, dompet cryptocurrency, dan ekstensi. Ini mungkin menjelaskan mengapa pembuat malware memberikan ZingoStealer secara gratis kepada siapa pun.
"Pengguna harus menyadari bahaya yang ditimbulkan oleh aplikasi semacam ini dan harus memastikan bahwa mereka hanya menjalankan aplikasi yang didistribusikan melalui mekanisme yang sah," kata para peneliti.