Инфостилер ZingoStealer хотели продать за $500, но теперь дают бесплатно
Главная » Новости

Инфостилер ZingoStealer хотели продать за $500, но теперь дают бесплатно

Екатерина Быстрова 18 Апреля 2022 - 13:24
...
Инфостилер ZingoStealer хотели продать за $500, но теперь дают бесплатно

ZingoStealer — новый вредонос, похищающий важные данные жертв, теперь предлагается совершенно бесплатно киберпреступникам разных мастей. Дело в том группировка Haskers Gang сначала пыталась продать исходный код за 500 долларов, но потом решила отдать его безвозмездно.

Помимо этого, злоумышленники предлагают за 300 рублей собственный шифровальщик ExoCrypt, который может помочь хакерам уйти от детектирования антивирусными средствами. Haskers Gang действует как минимум с января 2020 года.

Пробравшись в скомпрометированную систему, ZingoStealer ищет важную информацию и параллельно использует ресурсы устройства для майнинга криптовалюты Monero. Вредоносный код может собирать метаданные системы, а также информацию, сохранённую в популярных браузерах: Google Chrome, Mozilla Firefox, Opera и Opera GX.

Данные криптовалютных кошельков также интересуют зловреда. Специалисты Cisco Talos опубликовали отчёт, в котором описывают киберугрозу следующим образом:

«Вредонос “ZingoStealer” может не только похищать данные жертвы, но и загружать дополнительного зловреда в заражённые системы. Например, в ряде случаев на помощь призывался RedLine».

Исследователи отметили, что ZingoStealer нацелен преимущественно на русскоговорящих жертв. Также интересно, что инфостилер использует Telegram для извлечения данных и выдачи обновлений компонентов. Каналом распространения служат серверы Discord, ориентированные на геймеров.

Напомним, что на днях мы рассказывали о распространении другого инфостилера — META (не путать с организацией Meta, признанной в России экстремисткой). По словам экспертов, он стал улучшенной версией RedLine.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России распространяется бэкдор для Android, атакующий бизнес
Екатерина Быстрова 12 Августа 2025 - 14:55
Android БэкдорыТрояны Домашние пользователиМалый и средний бизнес Доктор Веб
В России распространяется бэкдор для Android, атакующий бизнес

В России распространяется многофункциональный бэкдор Android.Backdoor.916.origin, нацеленный на владельцев Android-устройств, в первую очередь — на представителей бизнеса. Вредонос способен выполнять широкий набор команд злоумышленников: прослушивать разговоры, вести трансляцию с камеры, собирать данные из мессенджеров и браузеров, а также перехватывать вводимый текст, включая пароли.

Первые версии этой программы появились в январе 2025 года. Эксперты «Доктор Веб» отмечают, что бэкдор используется в основном в точечных атаках.

Его распространяют через личные сообщения в мессенджерах, присылая APK-файл под видом антивируса «GuardCB» со значком, похожим на эмблему Банка России на фоне щита.

 

 

Интерфейс приложения только на русском языке. Есть и другие варианты с названиями вроде «SECURITY_FSB» или «ФСБ», что должно создавать у жертвы впечатление, будто это официальный софт.

На самом деле никаких защитных функций нет: программа имитирует антивирусное сканирование, «обнаруживая» от 1 до 3 несуществующих угроз, причём вероятность их появления увеличивается со временем после последнего «сканирования» (но не превышает 30%).

 

 

При первом запуске Android.Backdoor.916.origin запрашивает доступ к геолокации, камере, микрофону, СМС, контактам, журналу звонков, медиафайлам, а также права администратора устройства и доступ к функциям Accessibility Service.

Через собственные сервисы бэкдор связывается с C2-сервером и получает команды, среди которых:

  • передача на сервер СМС, контактов, журналов вызовов и данных геолокации;
  • запуск и остановка потоковой трансляции звука, видео или содержимого экрана;
  • выгрузка всех или отдельных изображений с карты памяти;
  • выполнение шелл-команд;
  • передача данных о сети устройства;
  • включение или отключение самозащиты.

Accessibility Service используется для функций кейлоггера и перехвата данных из приложений Telegram, Google Chrome, Gmail, Яндекс Старт, Яндекс Браузер и WhatsApp. Также эта служба помогает бэкдору защищаться от удаления.

В конфигурации вредоноса предусмотрена поддержка нескольких управляющих серверов и возможность переключения между хостинг-провайдерами (до 15), хотя эта функция пока не используется. Информация о выявленных серверах была передана регистраторам доменов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
KB5063060: экстренное обновление Windows 11 для геймеров с BSOD
Новость
KB5063060: экстренное обновление Windows 11 для геймеров с B...
«Мать всех утечек», 16 млрд записей: паника зря — это не новая атака
Новость
«Мать всех утечек», 16 млрд записей: паника зря — это не нов...
Доля российского ПО на ЕГЭ выросла до 20%, но замедлилась
Новость
Доля российского ПО на ЕГЭ выросла до 20%, но замедлилась

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.