谷歌从竞争对手亚马逊和微软那里窃取云客户的努力将基于其作为网络安全提供商的实力而获胜或失败。

这家网络巨头正在向其安全产品注入数十亿美元，这样这个大赌注就会得到回报。这包括合并和收购以及构建跨 AWS、Azure 和本地环境工作的技术。

谷歌云安全副总裁 Sunil Potti 表示，尽管最终目标仍然是将大型组织转移到谷歌云，但在过渡期间帮助客户加强网络和计算机防御是一个关键目标。

Potti 在接受The Register采访时说：“如果您的大部分工作负载都在云上，那么您的整体安全卫生状况会显着提高。 ” “这是我们的最终目标，我们真正的北方。但在此过程中，我们必须帮助实现安全现代化，因为对手没有等待。”

Google Cloud 中这种经过深思熟虑的安全策略始于大约三年半前——在SolarWinds 标志着企业 IT 领域广泛供应链攻击时代的开始之前。Potti 说，“我们不只是将谷歌作为云服务提供商出售，而是故意决定……我们是一个安全品牌。”

对于谷歌来说，它既是一项战略举措，也是一个差异化因素，它仍然是排名第三的云提供商——有时甚至更靠后——仅次于亚马逊和微软，具体取决于你阅读的市场份额报告。

客户甚至在他们准备好之前就想谈论多云，而他们仍然在单一云上，例如亚马逊网络服务或 Azure。在客户甚至还没有承诺使用谷歌云平台之前，谷歌希望它至少可以用其安全保护技术吸引客户。换句话说，确保客户可以选择谷歌云作为安全提供商，至少，如果不是一个完整的云平台的话。

“实际上，发生的事情是有人从一个云开始，达到临界质量，然后他们扩展到其他云，”波蒂说。

“因此，在我们等待这些多云决策的同时，如果您可以从 CIO 重新回到 CISO 办公室，然后在 CISO 办公室，找到一种方法让他们像我们在 Google 内部一样拥抱安全，但不一定必须来谷歌云吗？”

成为安防品牌
谷歌对此的回答是Anthos——其于 2019 年推出的多云平台。它允许客户在其数据中心、谷歌云平台以及 AWS 和 Azure 上运行 Kubernetes 工作负载。

它让安全成为主角。该平台利用了谷歌在 2010 年开始开发的BeyondCorp安全方法，此前中国网络间谍成功渗透到它和其他硅谷科技巨头的网络并窃取了知识产权。

安全漏洞促使谷歌将访问控制从网络边界转移到个人用户和设备——这已成为零信任的流行语。

同样在 2019 年，谷歌将其Chronicle安全分析平台（该平台已从 Alphabet 分拆成一家独立的初创公司）重新纳入其云安全领域。

大约在这个时候，安全成为谷歌云的主要支柱，谷歌“在其独立的安全产品上投入了大量资金，”波蒂回忆道。“我们有基础设施，我们有 Workspace，我们有数据和分析，还有 ML-AI，然后我们有安全云，”他说。

我们被告知谷歌试图对其竞争对手采取不同的方法。

“有了亚马逊，你必须在亚马逊才能体验其他的安全功能，”Potti 声称。“如果你不完全在亚马逊上，你就不能现代化你的安全运营中心 (SOC)。如果你不在亚马逊上，你就不能对你的所有企业和承包商采取零信任的态度” .

与此同时，他认为，微软“希望成为安全产品和软件的终极目标”。“你听到的类比是微软在森林里起火，然后作为一名护林员冲锋陷阵，”他打趣道。

Potti 声称谷歌的战略在几个关键方面与其两个主要的云竞争对手不同。首先，它的安全产品可以在客户的环境中运行，而不仅仅是在 Google Cloud 内部。其次，我们没有提供通用的安全堆栈，而是选择了几个市场作为我们从根本上认为对重新构想最关键的优先市场，并将所有这些学习成果装入几个大的细分市场，”他解释说.

自动驾驶SOC
安全运营中心 (SOC) 就是其中之一。Potti 说，这是谷歌利用其内部开发的技术结合收购将客户转移到“自动驾驶”业务的领域。

在其有史以来的第二大收购中，谷歌以 54 亿美元的价格收购了 Mandiant，这将把该公司的威胁检测和情报以及咨询服务和事件响应引入谷歌云。值得注意的是，据报道，微软还探索了 Mandiant 的收购，但最终失败了。

Potti 无法讨论 Mandiant 的交易，这也是诉讼的主题。但在 3 月，当谷歌宣布收购计划时，这家云提供商表示计划将 Mandiant 的服务整合到其安全运营产品组合中。

这包括用于零信任的 BeyondCorp Enterprise、用于软件漏洞的 VirusTotal、Chronicle 的安全分析和自动化以及 Google Cloud 新宣布的网络安全行动团队。

例如，“Google Cloud 的 Chronicle、Siemplify 解决方案和 Mandiant 的自动防御中的安全操作工具可帮助客户分析、优先考虑和简化威胁响应，并利用 Mandiant 的专业知识作为其团队的虚拟扩展，”当时 谷歌的一份声明说。

据报道，在宣布收购 Mandiant 的几个月前，谷歌斥资 5 亿美元收购了 Siemplify，将安全编排、自动化和响应 (SOAR) 纳入 Chronicle，后者已经提供了安全信息和事件管理 (SIEM) 和分析功能。

端点、XDR 合作伙伴
此外，谷歌与端点和扩展检测和响应提供商合作，包括 CrowdStrike、Palo Alto Networks 和 Cyber​​eason，它们在谷歌的 Chronicle 和 BeyondCorp 企业套件之上提供自己的安全服务，“以获得更多完整的服务，”Potti 指出。

除了与端点检测和响应机构合作外，谷歌去年年底还向 Cyber​​eason 投资了 5000 万美元。

这些举措旨在帮助客户“从手动安全操作过渡到自动安全操作再到自主安全操作，”Potti 说。

他解释说，自动化安全只能让组织实现目标的一半。“一旦你解锁了存储无限量数据的能力——比如来自你的 DNS 系统或端点的 PB 级数据——你就可以超越自动化，进入我所说的自主操作。”

Potti 说，这使得实时上下文——以及使用人工智能与真人威胁追踪团队来分析大量数据以发现潜在威胁——变得越来越重要。

他以对欧洲一家银行的民族国家攻击为例，说明谷歌利用有机和无机安全能力转移到其他地区的自主安全运营。

“无论我从前线收集到什么情报，”他解释说，“都可以渗透到……其他所有实时订阅该服务的客户身上。” Potti 说，有了系统中的这些知识，“如果该攻击者作为零日攻击出现在亚特兰大，识别该攻击者的机会将大大提高。”

英格兰上诉法院裁定，IBM 必须向客户支付五倍以上的赔偿金，该客户的价值 1.75 亿英镑（2.3 亿美元）的敏捷软件平台合同在 2017 年因项目的一系列失败而被撕毁。

蓝色巨人与客户（前身为 Co-Op Group 的子公司 CIS General Insurance Ltd (CISGIL)）之间的法律纠纷与 2015 年达成的一项协议有关，该协议旨在构建软件来管理客户的保险和承保业务。

Co-Op 首席执行官 Mark Summerfield 将所提供的开箱即用平台描述为“糟糕”。据说它不符合目的，在扣留给 IBM 的付款后，该项目最终崩溃了。合作社并非无可指责。

CISGIL 最初的索赔是 1.28 亿英镑（1.7 亿美元）的损害赔偿。

事情似乎在去年 2 月达到了顶点，当时一名法官指责 IBM 的“严重延误”导致两家公司之间的协议破裂。

O'Farrell 法官裁定这家美国 IT 巨头非法终止合同，并向 Co-Op Insurance赔偿1300 万英镑（1700 万美元），Co-Op Insurance在 2018 年以 1.85 亿英镑（2.43 亿美元）的价格将承保业务出售给 Soteria Insurance。 2020 年 12 月。

然而，当时，关于浪费成本的索赔被驳回，理由是根据合同第 23.3 条，它“被一项排除利润损失、收入和预期储蓄损失的条款所吸引”，Soteria 的法律简报告诉The Register。 .

然而，在2 月下旬由 Coulson 大法官在上诉法院下达并于最近公布的最新判决中，法官表示，他的前任将一项条款解释为排除 Soteria 审判的条款是“错误的”，有“单独的原因”。以收回“IBM 拒绝合同后浪费的支出”的款项。

他说，这些包括排除条款中语言的使用以及其中包含的内容的明确性——没有使用“浪费的支出”一词。Coulson 说，能够就浪费的支出提出索赔是一项“有价值的索赔”，并且可以通过发票、合同、收据等“轻松确定”。

他说，“浪费的支出是一种公认​​的和可收回的损失类型，完全符合补偿原则。”

“为了排除这种可能的索赔的可收回性，排除必须是明确和明显的。然而，[合同中]没有相关的排除词，更不用说明确和明显的词了。IBM 所依赖的令人费解的论点避免这种困难只会证实缺乏必要的明确性。”

他补充说，尽管“有一个可反驳的假设，即如果合同已经履行，浪费的支出将从利润/储蓄/收入中收回，但这并不能确定对支付给第三方供应商等款项的索赔。期望合同将与利润、收入或储蓄损失索赔一样完成，或暗示包含在索赔中。”

对上诉作出裁决的所有三名法官都同意，库尔森大法官的结论是“应支付 80,574,168 英镑的款项”，相当于 1.059 亿美元。

此前，在 2021 年 2 月，IBM 的一位发言人告诉我们，它“很高兴结束这场纠纷”，并且“CISGIL 夸大的损害赔偿索赔 [金额] 只是索赔金额的一小部分。” 这一次，IBM 没有回应置评电话。

伊拉克云产品:

提供1Gbps 口100M带宽

内存：1-32GB

每台服务器都配备了高性能、持久的基于 SSD 的存储或 SAN 存储
线路 以电信为主

伊拉克云  https://www.zzqidc.com/business/haiwaiyun.html?label_id=179

                                                                         哈萨克斯坦物理机服务器市场，报价单  （合作）

哈萨克斯坦(B版) 合作QQ:2324083729

                                                                      哈萨克斯坦物理机服务器市场，报价单  （合作）

哈萨克斯坦(B版)  合作QQ:2324083729

Microsoft 增加了通过 Microsoft 365 和 Dynamics 365 / Power Platform 漏洞赏金计划报告的高影响安全漏洞的最高奖励。

随着这两个计划的扩展，报告 Office 365 和 Microsoft 帐户服务漏洞的安全研究人员可以获得高达 30% 的符合条件的方案。

“通过这些新的基于场景的赏金奖励，我们鼓励研究人员将他们的研究重点放在对客户隐私和安全具有最大潜在影响的漏洞上，”微软安全响应中心 (MSRC) 的一份声明显示。

“对于符合条件的方案提交，奖励最多增加 30%（总计 26,000 美元）。”

微软补充说，被认为影响不高的缺陷可能仍然有资格获得一般奖励计划的赏金。

他们还可以根据报告的漏洞的严重性和提交的质量获得更高的奖励。

该公司表示： “如果报告的漏洞不符合高影响场景下的赏金资格，它可能有资格获得一般奖下的赏金。 ”

“根据漏洞的严重性和影响以及提交的质量，微软可以自行决定更高的奖励。”

设想 最高奖
通过不受信任的输入执行远程代码（CWE-94“代码生成控制不当（'代码注入'）”） 30.00%
通过不受信任的输入执行远程代码（CWE-502“不受信任数据的反序列化”） 30.00%
未经授权的跨租户和跨身份敏感数据1 泄漏（CWE-200“向未经授权的参与者暴露敏感信息”） 20.00%
未经授权的跨身份敏感数据泄露（CWE-488“数据元素暴露给错误的会话”） 20.00%
“混淆代理”漏洞可用于以绕过身份验证的方式访问资源的实际攻击（CWE-918“服务器端请求伪造（SSRF）”） 15.00%
一周前，微软宣布 最终将本地 Exchange、SharePoint和 Skype for Business 添加到其漏洞赏金计划中。

安全研究人员现在可以找到并报告影响本地 Exchange 和 SharePoint 服务器的漏洞，从而获得 500 到 26,000 美元的奖金。

MSRC 团队表示，赏金猎人研究人员可以根据漏洞影响产生的严重性乘数（15% 到 30% 之间）获得更高的奖励。
M365 赏金计划页面上提供了有关奖励金额、高影响方案和更新的范围内域列表的更多详细信息 。

用于将 Google Play 商店添加到 Android 子系统的流行 Windows 11 工具箱脚本已使用恶意脚本、Chrome 扩展程序和潜在的其他恶意软件秘密感染用户。

当 Windows 11 于 10 月发布时，微软宣布将允许用户直接在 Windows 中运行原生 Android 应用程序。

这一功能让许多用户兴奋不已，但当2 月份发布适用于 Windows 11 的 Android 预览版时，许多用户对无法将其与 Google Play 一起使用而感到失望，并被亚马逊 App Store 中的应用程序卡住了。

虽然有一些方法可以使用ADB 旁载 Android 应用程序，但用户开始寻找让他们将 Google Play 商店添加到 Windows 11 的方法。

大约在那个时候，有人在 GitHub 上发布了一个名为 Windows Toolbox的新工具，该工具 具有许多功能，包括能够解压 Windows 11、激活 Microsoft Office 和 Windows，以及为 Android 子系统安装 Google Play Store。

GitHub 上的 Windows 工具箱
一旦科技网站发现了这个脚本，它就被许多人迅速推广和安装。

然而，直到本周大家都不知道，Windows Toolbox 实际上是一个木马，它执行一系列模糊的恶意 PowerShell 脚本，以在设备上安装木马点击程序和可能的其他恶意软件。

滥用 Cloudflare 工作人员安装恶意软件
在过去的一周里，不同的用户 分享了一个发现，即 Windows 工具箱脚本是一个非常聪明的恶意软件攻击的前线，导致了令人惊讶的低质量恶意软件感染。

虽然 Windows Toolbox 脚本执行了 GitHub 上描述的所有功能，但它还包含混淆的 PowerShell 代码，该代码将从 Cloudflare 工作人员那里检索各种脚本，并使用它们在受感染的设备上执行命令和下载文件。

要运行 Windows Toolbox，开发人员告诉用户执行以下命令，该命令从托管在http://ps.microsoft-toolbox.workers.dev/的 Cloudflare 工作程序加载 PowerShell 脚本。
启动脚本的原始 GitHub 说明
使用 Cloudflare Workers 来托管恶意脚本很聪明，因为它允许威胁参与者根据需要修改脚本并使用未被过度利用的平台来分发恶意软件，因此它可能不太容易被检测到

该脚本看起来像宣传的那样，具有消除 Windows 11 膨胀、禁用遥测、修复 Your Phone 应用程序、设置电源配置文件等功能。

然而，在脚本的第 762 行和第 2,357 行，存在混淆代码，但乍一看，它似乎不会带来任何风险。

混淆的 PowerShell
但是，在去混淆后，它会转换为 PowerShell 代码 [ Stage 1、Stage 2、Stage 3 ]，从 Cloudflare 工作人员和https://github.com/alexrybak0444/ GitHub 存储库中加载恶意脚本和文件。

威胁参与者 GitHub 存储库
该存储库包含大量文件，包括重命名的 Python 发行版、7Zip 可执行文件、Curl 和各种批处理文件。

不幸的是，存储在 Cloudflare 上的某些脚本需要发送特殊的标头才能访问它们，或者根本不再可用，因此很难准确分析这些 PowerShell 脚本、批处理文件和文件在受感染设备上的作用。

向 Cloudflare 工作人员发送特殊标头
我们所知道的是，这些恶意脚本仅针对美国用户，并创建了大量具有以下名称的计划任务：

Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup
这些计划任务用于配置各种变量，创建由任务运行的其他脚本，以及杀死进程，例如 chrome.exe、msedge.exe、brave.exe、powershell.exe、python.exe、pythonw.exe、 cdriver.exe 和 mdriver.exe。

它还创建了一个隐藏c:\systemfile文件夹，并将Chrome、Edge 和 Brave的默认配置文件复制到该文件夹​​中。

PowerShell 脚本在此文件夹中创建了一个 Chromium 扩展，以在浏览器启动时执行来自https://cdn2.alexrybak0555.workers.dev/的脚本。

这个脚本似乎是这次攻击的主要恶意组件，虽然它上传了有关受害者的地理位置信息，但奇怪的是，它的恶意行为仅用于通过将用户重定向到附属和推荐 URL 来产生收入。

当用户访问 whatsapp.com 时，脚本会将他们重定向到以下随机 URL 之一，其中包含“赚钱”骗局、浏览器通知骗局和有害软件的促销。
https://tei.ai/hacky-file-explorer
https://tei.ai/pubg-for-low-spec-pc
https://tei.ai/get-free-buck
https://tei.ai/win-free-digital-license
https://tei.ai/make-money-online-right-now
https://tei.ai/make-money-online-35-way
https://tei.ai/9qmcSfB
https://tei.ai/GCShsSr
https://tei.ai/wCJ88s
命中错综复杂的脚本所传递的有效负载的影响是如此之小，以至于几乎感觉像是缺少了什么。

可能是这种情况，因为其中一个计划任务执行来自 autobat.alexrybak0444.workers.dev 的代码，其中可能包含更多恶意行为。但是，此脚本未存档且不可用。

对于过去运行此脚本并担心他们可能被感染的人，您可以检查上述计划任务和 C:\systemfile 文件夹是否存在。

如果存在这些，请删除关联的任务、systemfile 文件夹以及安装为 C:\Windows\security\pywinvera、C:\Windows\security\pywinveraa 和 C:\Windows\security\winver.png 的 Python 文件。

网络犯罪分子正试图使用​​带有虚假银行欺诈警报的短信来欺骗数字支付应用程序的美国用户在社交工程攻击中进行即时转账。

该警告由联邦调查局于周四作为公共服务公告发布，称攻击者将通过欺骗银行合法的 1-800 支持号码的电话号码呼叫响应其网络钓鱼消息的受害者。

联邦调查局表示：“以撤销假汇款为借口，受害者被骗到网络参与者控制下的银行账户中付款。”

虚假欺诈警报会参考付款金额和金融机构名称，并要求目标确认他们是否试图即时支付数千美元。

如果收件人回复网络钓鱼短信并拒绝进行此类付款，他们将收到第二条短信，称“很快”会与他们联系。

诈骗者确实按承诺打电话，通常说英语，没有口音，并声称代表目标的银行欺诈部门。

受害者要求撤销虚假付款
最终目标是通过要求受害者从支付应用程序中删除他们的电子邮件地址并将其附加到攻击者控制的一个应用程序中来欺骗受害者“逆转”虚假的即时支付交易。

“演员在询问受害者的电子邮件地址后，将其添加到由演员控制的银行账户中。在更改电子邮件地址后，演员告诉受害者开始另一笔即时支付交易给自己，这将取消或撤销最初的欺诈性付款尝试，”联邦调查局解释说。

“受害者相信他们正在向自己发送交易，实际上是在将即时支付交易从他们的银行账户发送到行为者控制的银行账户。”

诈骗者与其受害者之间的交流可能会持续数天，这表明诈骗者决心实施他们的社会工程攻击。

FBI 还分享了使用数字支付应用程序的美国人应注意的预防措施清单，以避免成为这些骗局的受害者：
警惕未经请求的验证帐户信息的请求。网络攻击者可以使用看似来自合法金融机构的电子邮件地址和电话号码。如果收到有关可能的欺诈或未经授权的转账的电话或短信，请不要直接回复。
如果收到未经请求的验证账户信息的请求，请通过官方银行网站或文件上的已验证电话号码和电子邮件地址联系金融机构的欺诈部门，而不是通过短信或电子邮件中提供的信息。
为所有金融账户启用多因素身份验证 (MFA)，不要通过电话向任何人提供 MFA 代码或密码。
了解金融机构不会要求客户在账户之间转移资金以帮助防止欺诈。
对提供个人身份信息的来电者持怀疑态度，例如社会保险号和过去的地址，以证明其合法性。过去十年中大规模数据泄露事件的激增为犯罪分子提供了大量的个人数据，这些数据可能被反复用于各种诈骗和欺诈。

美国财政部外国资产控制办公室 (OFAC) 已批准接收在有史以来最大的加密货币黑客攻击中被盗的加密货币的地址，即 Axie Infinity 的 Ronin 网络桥的黑客攻击。

区块链数据平台 Chainalysis 首次发现，作为 Lazarus Group 更新的一部分， OFAC 添加到 SDN 列表中的新 ETH 地址也在 3 月用于收集在 Ronin 黑客攻击中被盗的 ETH 和 USDC 代币。

Ronin 是由 Sky Mavis 开发的以太坊侧链，用于支持 Axie Infinity 游戏的交易，充当在 Ronin 和以太坊区块链之间传输 ERC-20 代币的桥梁。

3 月 29 日，Sky Mavis披露 Ronin 桥被黑客入侵，在两笔交易 [ 1和2 ]中盗窃了 173,600 个以太坊和 2550 万个 USDC 代币，价值超过 6.17 亿美元。

根据 Sky Mavis 的说法，联邦调查局现在将这次袭击归咎于朝鲜支持的 Lazarus Group 黑客组织。

“今天，联邦调查局将总部设在朝鲜的 Lazarus Group 归咎于 Ronin Validator 安全漏洞，”Sky Mavis今天说。

“美国政府，特别是财政部，已经批准了接收被盗资金的地址。”

173,600 ETH 转移到 Lazarus 控制的钱包（BleepingComputer）
这次攻击是历史上最大的加密货币黑客攻击，之前最重大的加密货币盗窃事件是2021 年 8 月发生的价值 6.11 亿美元的 Poly Network 黑客攻击。

“今天，OFAC 在 Lazarus Group 的 SDN 条目中添加了一个新的 ETH 地址作为标识符：0x098B716B8Aaf21512996dC57EB0615e2383E2f96，”Chainalysis在周四的 Twitter 帖子中透露。

“该地址参与了 Ronin 黑客攻击，在攻击期间从 Ronin Bridge 智能合约收到了 173,600 ETH 和 2550 万美元。”

臭名昭著的朝鲜威胁组织
Lazarus Group （被美国情报界追踪为 HIDDEN COBRA）是一个活跃了十多年的朝鲜军事黑客组织，至少从 2009 年开始。

其运营商与多个备受瞩目的黑客活动有关，包括 2017 年全球WannaCry勒索软件活动以及针对索尼电影公司和全球多家银行的攻击。

谷歌还发现 Lazarus Group在 2021 年 1 月和2021 年 3 月企图针对安全研究人员，这是复杂社会工程攻击的一部分。

从 2020 年初开始，他们还使用ThreatNeedle 后门和MATA 恶意软件框架针对来自十几个国家的国防工业实体进行网络间谍活动。

美国财政部于 2019 年 9 月制裁了三个朝鲜赞助的黑客组织（Lazarus、Bluenoroff 和 A​​ndariel）。

美国政府还悬赏高达 500 万美元，奖励朝鲜黑客恶意活动的提示，以帮助识别或定位他们。

一种名为 ZingoStealer 的新信息窃取恶意软件被发现具有强大的数据窃取功能，并且能够加载额外的有效负载或挖掘 Monero。

新的恶意软件是由一群名为“Haskers Gang”的威胁参与者免费创建和发布的，他们最近试图以 500 美元的价格出售其源代码。

在Cisco Talos的研究人员发现该产品后不久 ，ZingoStealer 易手并被转移给一个新的威胁参与者，该参与者将承担开发工作。

考虑到攻击者在其 Telegram 和 Discord 频道上免费提供信息窃取器，并且鉴于对此类恶意软件的需求不断增长，其部署可能会上升到新的水平。

攻击性恶意软件
ZingoStealer 于 2022 年 3 月首次出现在网络犯罪社区中，在俄语频道中以 .NET 可执行文件形式作为“即用型”强大的信息窃取器进行宣传。

只需 300 卢布，按今天的价格计算，价值约为 3.64 美元，用户还可以购买具有加密器混淆功能（通过 ExoCrypt）的预构建选项，以增强对 AV 检测的抵抗力。

到目前为止，已经看到 ZingoStealer 通过软件破解感染计算机，以及 在 YouTube 上推广的视频游戏作弊，但感染媒介随时可能多样化

CSGO 作弊提供 YouTube 上推广的 ZingoStealer （思科）
从数据窃取的角度来看，这是一种针对以下应用程序和数据点的强大恶意软件：

网络浏览器： Google Chrome、Mozilla Firefox、Opera、Opera GSX
加密货币钱包扩展： TronLink、Nifty Wallet、MetaMask、MathWallet、Coinbase Wallet、Binance Wallet、Brave Wallet、Guarda、EQUAL Wallet、BitApp Wallet、iWallet、Wombat – Gaming Wallet
加密货币钱包数据： Zcash、Armory、Bytecoin、Jaxx Liberty、Exodus、Ethereum、Electrum、Atomic、Guarda、Coinomi
加密货币钱包：比特币、达世币、莱特币
计算机信息： IP 地址、计算机名称、用户名、操作系统版本、本地化信息、处理器信息、系统内存、屏幕分辨率、开始时间
所有被盗信息都保存在“C:\Users\AppData\Local\GinzoFolder”文件夹中，压缩，然后泄露到运营商的服务器。

泄露 ZIP 文件 (Cisco)
虽然目标列表可能看起来很广泛，但与其他更成熟的信息窃取者（尤其是 RedLine Stealer）所针对的程序相比，它显得相形见绌。

两个信息窃取者的比较 （思科）
弥补这一功能差距的简单解决方案是让 ZingoStealer 部署 RedLine Stealer，事实上，这是其最常部署的第二阶段有效负载。
ZingoStealer 执行地理定位检查以确保受害者不在独联体国家，因为它主要由讲俄语的演员使用，然后请求 URL 列表以检索和执行更多有效负载。

除了上述之外，ZingoStealer 还具有 XMRig 加密货币挖掘恶意软件，以使用受害者的计算机获取直接的经济利益。

此功能是在最近的版本中添加的，它使用 PowerShell 在 Windows Defender 上添加必要的排除项并执行矿工。

随着 ZingoStealer 感染的增加，矿池也在增长 （思科）
ZingoStealer 的未来
ZingoStealer 是新的，它的未来是不确定和多变的，但黑客可以免费获取它并不受限制地部署它这一事实使其成为成为普遍威胁的候选者。

由于最近信息窃取恶意软件空间变得非常拥挤，该领域的竞争现在非常激烈，但如果新所有者证明自己有能力，ZingoStealer 将继续增长。

鉴于它的恶意软件加载能力和赋予其隐蔽性的自定义加密器，看到它放弃信息窃取的愿望并演变成一个专门的加载器也就不足为奇了。

至于如何防范它，最好的方法是不从阴暗的网站下载软件破解和游戏作弊来避免感染。