Cyberthreat.id – Kelompok ancaman yang dikenal sebagai Haskers Gang membagikan malware ZingoStealer ke penjahat siber secara gratis.

Haskers Gang diketahui merupakan salah satu kelompok kejahatan siber asal Rusia. Kelompok kejahatan siber ini aktif setidaknya sejak Januari 2020.

Dikutip dari The Hacker News menurut peneliti dari Cisco Talos, Edmund Brumaghin dan Vanja Svajcer, malware yang dibagikan ini memiliki kemampuan untuk mencuri informasi sensitif dari korban. Malware ini juga bisa digunakan untuk mengunduh malware tambahan ke sistem yang terinfeksi.

“Bahkan, dalam banyak kasus, ini termasuk RedLine Stealer dan malware penambangan cryptocurrency berbasis XMRig yang secara internal disebut sebagai ZingoMiner,” kata kedua peneliti tersebut.

Peneliti mengatakan, sejak diluncurkan bulan lalu, ZingoStealer dikatakan menjalani pengembangan yang konsisten. Malware ini digunakan secara khusus terhadap korban berbahasa Rusia dengan mengemasnya sebagai cheat game dan perangkat lunak bajakan.

Selain mengumpulkan informasi sensitif seperti kredensial, mencuri informasi dompet cryptocurrency dan menambang cryptocurrency di sistem korban, malware ini memanfaatkan Telegram baik sebagai saluran eksfiltrasi maupun platform untuk mendistribusikan pembaruan.

Pelanggan mereka dapat memilih untuk membayar sekitar $3 untuk membungkus malware dalam crypter khusus yang disebut ExoCrypt. Fitur ini memungkinkan untuk menghindari pertahanan antivirus tanpa harus bergantung pada solusi crypter pihak ketiga.

“Penggabungan perangkat lunak penambangan cryptocurrency XMRig ke dalam pencuri adalah upaya dari pembuat malware untuk lebih memonetisasi upaya mereka dengan menggunakan sistem yang terinfeksi oleh afiliasi untuk menghasilkan koin Monero,” kata peneliti.

Peneliti menyebutkan, kampanye jahat yang mengirimkan perangkat lunak jahat dalam bentuk utilitas modifikasi game atau celah perangkat lunak, dengan pelaku ancaman memposting video YouTube yang mengiklankan fitur alat dan deskripsinya, termasuk tautan ke file arsip yang dihosting di Google Drive atau Mega yang berisi muatan ZingoStealer.

“Executable di malware itu juga dihosting di CDN Discord, meningkatkan kemungkinan bahwa infostealer sedang disebarluaskan dalam server Discord terkait game,” kata Penelit.

Peneliti menambahkan, ZingoStealer, pada bagiannya, dibuat sebagai biner .NET yang mampu mengumpulkan metadata sistem dan informasi yang disimpan oleh browser web seperti Google Chrome, Mozilla Firefox, Opera, dan Opera GX, sementara juga menyedot detail dari dompet cryptocurrency.

Terlebih lagi, malware dilengkapi untuk menyebarkan malware sekunder atas kebijaksanaan penyerang, seperti RedLine Stealer, pencuri informasi yang lebih kaya fitur yang menjarah data dari berbagai aplikasi, browser, dan dompet dan ekstensi cryptocurrency. Ini berpotensi dapat menjelaskan mengapa pembuat malware menawarkan ZingoStealer secara gratis kepada musuh mana pun. []