Un nouveau logiciel malveillant voleur d’informations appelé ZingoStealer a été découvert avec de puissantes fonctionnalités de vol de données et la possibilité de charger des charges utiles supplémentaires ou d’exploiter Monero.
Le nouveau logiciel malveillant a été créé et publié gratuitement par un groupe d’acteurs malveillants nommé le « Haskers Gang », qui a récemment tenté de vendre son code source pour 500 $.
Peu de temps après les chercheurs de Cisco Talos a repéré cette offre, ZingoStealer a changé de mains et a été transféré à un nouvel acteur menaçant qui entreprendra l’effort de développement.
Étant donné que les adversaires proposent gratuitement le voleur d’informations sur leurs chaînes Telegram et Discord, et compte tenu de la demande croissante pour ce type de malware, son déploiement pourrait atteindre de nouveaux sommets.
Un malware agressif
Le ZingoStealer est apparu pour la première fois dans la communauté de la cybercriminalité en mars 2022, promu sur les chaînes russophones comme un puissant voleur d’informations « prêt à l’emploi » sous la forme d’un exécutable .NET.
Pour seulement 300 roubles, d’une valeur d’environ 3,64 $ aux prix d’aujourd’hui, les utilisateurs pouvaient également acheter l’option pré-construite qui comprenait l’obscurcissement du crypteur (via ExoCrypt) pour une résistance améliorée à la détection AV.
Jusqu’à présent, ZingoStealer a été vu infecter des ordinateurs via des logiciels de crack et des tricheurs de jeux vidéo promus sur YouTube, mais le vecteur d’infection pourrait se diversifier à tout moment.
Du point de vue du vol de données, il s’agit d’un puissant logiciel malveillant ciblant les applications et les points de données suivants :
- Navigateurs Web : Google Chrome, Mozilla Firefox, Opera, Opera GSX
- Extensions de portefeuille de crypto-monnaie : TronLink, Nifty Wallet, MetaMask, MathWallet, Coinbase Wallet, Binance Wallet, Brave Wallet, Guarda, EQUAL Wallet, BitApp Wallet, iWallet, Wombat – Gaming Wallet
- Données du portefeuille de crypto-monnaie : Zcash, Armory, Bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
- Portefeuilles de crypto-monnaie : Bitcoin, Dash, Litecoin
- Informations sur l’ordinateur : adresse IP, nom de l’ordinateur, nom d’utilisateur, version du système d’exploitation, informations sur la localisation, informations sur le processeur, mémoire système, résolution de l’écran, heure de démarrage
Toutes les informations volées sont enregistrées dans le dossier « C:UsersAppDataLocalGinzoFolder », compressées et exfiltrées sur le serveur de l’opérateur.
Bien que la liste de ciblage puisse sembler longue, elle est pâle par rapport aux programmes ciblés par d’autres voleurs d’informations plus établis, notamment le RedLine Stealer.
La solution simple pour combler cette lacune dans les fonctionnalités consiste à faire en sorte que ZingoStealer déploie RedLine Stealer, qui est en fait sa charge utile de deuxième étape la plus fréquemment déployée.
ZingoStealer effectue une vérification de géolocalisation pour s’assurer que la victime ne se trouve pas dans un pays de la CEI, car elle est principalement utilisée par des acteurs russophones, puis demande une liste d’URL pour la récupération et l’exécution de plus de charges utiles.
En plus de ce qui précède, ZingoStealer propose également le malware d’extraction de crypto-monnaie XMRig pour utiliser l’ordinateur de la victime à des fins financières directes.
Cette fonctionnalité a été ajoutée dans une version récente et utilise PowerShell pour ajouter les exclusions nécessaires sur Windows Defender et exécuter le mineur.
L’avenir de ZingoStealer
ZingoStealer est nouveau, et son avenir est incertain et instable, mais le fait que les pirates puissent le saisir gratuitement et le déployer sans limites en fait un candidat pour devenir une menace répandue.
La concurrence dans le domaine est maintenant féroce car l’espace des logiciels malveillants voleurs d’informations est devenu assez encombré ces derniers temps, mais si les nouveaux propriétaires se montrent capables, ZingoStealer continuera de croître.
Compte tenu de ses capacités de chargement de logiciels malveillants et du crypteur personnalisé qui lui confère sa furtivité, il ne serait pas surprenant de le voir abandonner ses aspirations de vol d’informations et évoluer vers un chargeur spécialisé.
Quant à la façon de s’en protéger, éviter les infections en ne téléchargeant pas de cracks logiciels et de tricheurs de jeux à partir de sites Web louches serait la meilleure approche.