一种名为 ZingoStealer 的新信息窃取恶意软件被发现具有强大的数据窃取功能，并且能够加载额外的有效负载或挖掘 Monero。

新的恶意软件是由一群名为“Haskers Gang”的威胁参与者免费创建和发布的，他们最近试图以 500 美元的价格出售其源代码。

在Cisco Talos的研究人员发现该产品后不久 ，ZingoStealer 易手并被转移给一个新的威胁参与者，该参与者将承担开发工作。

考虑到攻击者在其 Telegram 和 Discord 频道上免费提供信息窃取器，并且鉴于对此类恶意软件的需求不断增长，其部署可能会上升到新的水平。

攻击性恶意软件
ZingoStealer 于 2022 年 3 月首次出现在网络犯罪社区中，在俄语频道中以 .NET 可执行文件形式作为“即用型”强大的信息窃取器进行宣传。

只需 300 卢布，按今天的价格计算，价值约为 3.64 美元，用户还可以购买具有加密器混淆功能（通过 ExoCrypt）的预构建选项，以增强对 AV 检测的抵抗力。

到目前为止，已经看到 ZingoStealer 通过软件破解感染计算机，以及 在 YouTube 上推广的视频游戏作弊，但感染媒介随时可能多样化

CSGO 作弊提供 YouTube 上推广的 ZingoStealer （思科）
从数据窃取的角度来看，这是一种针对以下应用程序和数据点的强大恶意软件：

网络浏览器： Google Chrome、Mozilla Firefox、Opera、Opera GSX
加密货币钱包扩展： TronLink、Nifty Wallet、MetaMask、MathWallet、Coinbase Wallet、Binance Wallet、Brave Wallet、Guarda、EQUAL Wallet、BitApp Wallet、iWallet、Wombat – Gaming Wallet
加密货币钱包数据： Zcash、Armory、Bytecoin、Jaxx Liberty、Exodus、Ethereum、Electrum、Atomic、Guarda、Coinomi
加密货币钱包：比特币、达世币、莱特币
计算机信息： IP 地址、计算机名称、用户名、操作系统版本、本地化信息、处理器信息、系统内存、屏幕分辨率、开始时间
所有被盗信息都保存在“C:\Users\AppData\Local\GinzoFolder”文件夹中，压缩，然后泄露到运营商的服务器。

泄露 ZIP 文件 (Cisco)
虽然目标列表可能看起来很广泛，但与其他更成熟的信息窃取者（尤其是 RedLine Stealer）所针对的程序相比，它显得相形见绌。

两个信息窃取者的比较 （思科）
弥补这一功能差距的简单解决方案是让 ZingoStealer 部署 RedLine Stealer，事实上，这是其最常部署的第二阶段有效负载。
ZingoStealer 执行地理定位检查以确保受害者不在独联体国家，因为它主要由讲俄语的演员使用，然后请求 URL 列表以检索和执行更多有效负载。

除了上述之外，ZingoStealer 还具有 XMRig 加密货币挖掘恶意软件，以使用受害者的计算机获取直接的经济利益。

此功能是在最近的版本中添加的，它使用 PowerShell 在 Windows Defender 上添加必要的排除项并执行矿工。

随着 ZingoStealer 感染的增加，矿池也在增长 （思科）
ZingoStealer 的未来
ZingoStealer 是新的，它的未来是不确定和多变的，但黑客可以免费获取它并不受限制地部署它这一事实使其成为成为普遍威胁的候选者。

由于最近信息窃取恶意软件空间变得非常拥挤，该领域的竞争现在非常激烈，但如果新所有者证明自己有能力，ZingoStealer 将继续增长。

鉴于它的恶意软件加载能力和赋予其隐蔽性的自定义加密器，看到它放弃信息窃取的愿望并演变成一个专门的加载器也就不足为奇了。

至于如何防范它，最好的方法是不从阴暗的网站下载软件破解和游戏作弊来避免感染。