Los delincuentes proporcionan ginzo robadores de forma gratuita, ahora está ganando terreno

Identificamos más de 400 muestras para el ladrón de Ginzo en 10 días desde el 20 de marzo y los números están aumentando. ¿Qué hay detrás del ladrón libre?

Descubrimiento

Descubrimos y anunciamos ginzo ladrón [1] el 24 de marzo de 2022. Un video de YouTube, descubierto por @3xp0rtblog, muestra el primer lanzamiento. Fue subido el 4 de marzo.

La descripción a continuación del video indica que el ladrón se proporciona de forma gratuita, lo que probablemente sea una técnica de marketing para enganchar a los compradores criminales.

Si esa es una técnica de marketing, ha funcionado bien para los delincuentes. Solo contando las muestras que vimos entre el 20 y el 30 de marzo, encontramos más de 400 binarios de Ginzo stealer en VirusTotal.

El canal de Telegram de Ginzo afirma que el ladrón ya está a la venta.

Ofuscación

Ginzo stealer está ofuscado con ConfuserEx, lo que resulta en mensajes de error al intentar descompilar el código. Esto se debe a que el inicializador de tipo. cctor descifra el código real sobre la marcha. También inicializa los datos necesarios para el descifrado de cadenas.

La desofuscación automática con herramientas como de4dot ya no es suficiente. Una combinación de depuración (para obtener el código descifrado y las cadenas), análisis estático y desofuscación manual es necesaria para obtener código legible.

.cctor descifra el código real

Comportamiento general

Ginzo stealer primero descarga las siguientes bibliotecas adicionales desde su servidor C&C:

  1. Newtonsoft.Json.dll
  2. BouncyCastle.Crypto.dll
  3. SQLite.Interop.dll para x86 y x64
  4. System.Data.SQLite.dll
  5. DotNetZip.dll

Debido a un manejo incorrecto de excepciones, el ladrón se bloquea algún tiempo después si estas bibliotecas no se pueden descargar.

El ladrón solicita un ginzolist.txt del servidor de C&C. Este archivo de texto contiene direcciones de ubicaciones de descarga adicionales para ejecutables. En nuestras pruebas, el archivo contenía dos entradas que indican a Ginzo que descargue antiwm.exe[2] y generación.exe[3]. El archivo antivm.exe es un minero de monedas malicioso y de generación.exe es otro ladrón basado en .NET, especializado en tokens de Discord. Ambos archivos están empaquetados.

Ginzo crea una carpeta llamada GinzoFolder en %LOCALAPPDATA% (vea la imagen a continuación). Almacena todos los datos del sistema extraídos allí, como capturas de pantalla, credenciales, cookies, datos de telegramas y billeteras de criptomonedas. El ladrón crea un archivo llamado System.txt para almacenar información genérica del sistema, que incluye la dirección IP, el sistema operativo, el nombre de usuario, el nombre de la computadora, la resolución de pantalla, la tarjeta gráfica, el procesador, la RAM, el tiempo de lanzamiento y el canal de telegramas del ladrón de Ginzo. El ladrón también almacena un valor de fecha y hora en ChromeUploadTime.txt para asegurarse de que los datos robados no se envíen con demasiada frecuencia al actor de amenazas.

Una lista de los contenidos de GinzoFolder y los datos contenidos se encuentra en la sección IoC en la parte inferior.

Contenido de GinzoFolder que guarda todos los datos extraídos de un sistema infectado

Contenido del sistema.txt que recopila información general del sistema

Ginzo obtiene los siguientes datos del sistema:

  1. Sesiones de Telegram
  2. Cookies y contraseñas de Opera, Chrome, Opera GX, Firefox
  3. todos los archivos de escritorio
  4. Fichas de discordia
  5. carteras de criptomonedas
  6. datos generales del sistema

El ladrón luego se pone en contacto con el C&C y comienza con el envío de estadísticas sobre los datos robados:

hxxps://nominally.ru/g1nzo.php?data=1148674342&countc=<cookie_count>&countp=<password_count>&country=<country>&ip=<ip_address>&countw=<cryptowallet_count>

Los dígitos que se envían a través del parámetro de datos son probablemente algún tipo de ID para el binario del ladrón.

Ginzo guarda los archivos de GinzoFolder en ginzoarchive.zip y envía el archivo al servidor de C&C.

Rutina principal para el robo de datos (nota al margen para ingenieros de detección: esto muestra el código desofuscado manualmente, incluida la nomenclatura de los métodos, y no es adecuado para la creación de detección)

Ginzo envía datos robados al servidor (nota al margen para los ingenieros de detección: esto muestra el código desofuscado manualmente, incluida la denominación de los métodos, y no es apto para la creación de detección)

Conclusión

Ginzo es un ladrón de pleno derecho que se ha vuelto ampliamente utilizado en un período de tiempo relativamente corto. Es otro ladrón con el que podemos tener que lidiar en los próximos años si los actores de la amenaza Ginzo permanecen en el juego.

Cuando los delincuentes proporcionan algo gratis, lo más probable es que no sea caridad. Se puede utilizar para mejorar la reputación, para enganchar a futuros compradores y, en este caso, también para obtener datos robados mientras se permite que otros hagan el trabajo de propagar el malware, ya que todos los datos se canalizan al servidor de los actores de amenazas Ginzo.

Apéndice

A continuación, se muestran listados de IoCs y cryptowallets dirigidos

Iocs

DescripciónDetalles
[1] Ladrón de ginzos3fd0837381babda7ef617b810457f0db32bd7c1f7e345480e6c525050ca818fa
[2] antiwm.exe, coinmineree1524e4980cac431ae0f92888ee0cc8a1fa9e7981df0be6abd7efa98adf9a45
[3] generación.exe, ladrón de tokens discorda9a42ca72be1083b57ee9542925cda5211606b5d07b7b0be21516762e1680124
[4] Url de descargahxxps://nominally.ru/cis.txt
hxxps://nominally.ru/ginzolist.txt hxxps://nominally.ru/library/antiwm.exe
hxxps://nominally.ru/library/System.Data.SQLite.dll hxxps://nominally.ru/library/Newtonsoft.Json.dll
hxxps://nominally.ru/library/Newtonsoft.Json.dll hxxps://nominally.ru/library/Newtonsoft.Json.dll
hxxps://nominally.ru/library/BouncyCastle.Crypto.dll hxxps://nominally.ru/library/Newtonsoft.Json.dll
hxxps://nominally.ru/library/x86/SQLite.Interop.dll
hxxps://nominally.ru/library/x64/SQLite.Interop.dll hxxps://nominally.ru/library/Newtonsoft.Json.dll
hxxps://nominally.ru/library/Newtonsoft.Json.dll hxxps://nominally.ru/library/Newtonsoft.Json.dll hxxps://nominally.ru/library/Newtonsoft.Json.dll hxxps://nominally.ru/library/Newtonsoft.Json.dll hxxps://nominally.ru/library/Newtonsoft.Json.dll hxxps://nominally.ru/library/Newtonsoft.Json.dll hxxps://nominally.ru/library/Newtonsoft.Json.dll hxxps://nominally.ru/cis.txt
hxxps://nominally.ru/library/generation.exe
[5] Datos del CnC presentadoshxxps://nominally.ru/g1nzo.php?data=1148674342&countc=<cookie_count>&countp=<password_count>&country=<country>&ip=<ip_address>&countw=<cryptowallet_count>»
[6] Carpeta con datos robados%LOCALAPPDATA%\GinzoFolder\
[7] Datos generales del sistema%LOCALAPPDATA%\GinzoFolder\System.txt
[8] Captura de pantalla del sistema infectado%LOCALAPPDATA%\GinzoFolder\Screenshot.png
[9] Última vez que se enviaron datos robados al servidor%LOCALAPPDATA%\ChromeUploadTime.txt
[10] Datos extraídos del navegador%LOCALAPPDATA%\GinzoFolder\Browsers\
[11] Carteras de criptomonedas extraídas%LOCALAPPDATA%\GinzoFolder\Wallets\
[12] Archivos copiados del escritorio%LOCALAPPDATA%\GinzoFolder\Archivos de escritorio\
[13] Archivo que contiene todos los archivos de GinzoFolder%LOCALAPPDATA%\GinzoFolder\ginzoarchive.zip

 Criptoparquetes dirigidos

Ginzo stealer apunta, entre otros, a los datos de criptomonedas y los obtiene de extensiones o carpetas de Chrome en el sistema del usuario:

Monedero de criptomonedasCamino
GuardaWallet%LOCALAPPDATA%\Google\Chrome\User Data\Default\Local Extension Settings\hpglfhgfnhbgpjdenjgmdgoeiappafln
Coinbase%LOCALAPPDATA%\Google\Chrome\User Data\Default\Local Extension Settings\hnfanknocfeofbddgcijnmhnfnkdnaad
TronLink%LOCALAPPDATA%\Google\Chrome\User Data\Default\Local Extension Settings\ibnejdfjmmkpcnlpebklmnkoeoihofec
MathWallet%LOCALAPPDATA%\Google\Chrome\User Data\Default\Local Extension Settings\afbcbjpbpfadlkmhmclhkeeodmamcflc
MetaMask%LOCALAPPDATA%\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn
NiftyWallet%LOCALAPPDATA%\Google\Chrome\User Data\Default\Local Extension Settings\jbdaocneiiinmjbjlgalhcelgbejmnid
BraveWallet%LOCALAPPDATA%\Google\Chrome\User Data\Default\Local Extension Settings\odbfpeeihdkbihmopkbjmoonfanlbfcl
BinanceChain%LOCALAPPDATA%\Google\Chrome\User Data\Default\Local Extension Settings\fhbohimaelbohpjbbldcngcnapndodjp
BitAppWallet%LOCALAPPDATA%\Google\Chrome\User Data\Default\Local Extension Settings\fihkakfobkmkjojpchpfgcmhfjnmnfpi
iWallet%LOCALAPPDATA%\Google\Chrome\User Data\Default\Local Extension Settings\kncchdigobghenbbaddojjnnaogfppfj
Wombat%LOCALAPPDATA%\Google\Chrome\User Data\Default\Local Extension Settings\amkmjjmmflddogmhpjloimipbofnfjih
EquallWallet%LOCALAPPDATA%\Google\Chrome\User Data\Default\Local Extension Settings\blnieiiffboillknjnepogjhkgnoapac
Zcash%APPDATA%\Zcash
Armería%APPDATA%\Armería
Bytecoin%APPDATA%\bytecoin
Jaxx%APPDATA%\com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb
Éxodo%APPDATA%\Exodus\exodus.wallet
Ethereum%APPDATA%\Ethereum\keystore
Electro%APPDATA%\Electrum\wallets
AtomicWallet%APPDATA%\atomic\Almacenamiento local\leveldb
Coinomi%LOCALAPPDATA%\Coinomi\Coinomi\wallets
Guarda%APPDATA%\Guarda\Almacenamiento local\leveldb

Enlace:Los delincuentes proporcionan Ginzo stealer de forma gratuita, ahora está ganando terreno | G DATOS (gdatasoftware.com) Blog de G DATA Karsten Hahn