Zombinder Malware Platform

Ildsindede trusselsaktører har fundet en ny måde at sprede malware og inficere intetanende ofre - ved at bruge en Dark Net-platform ved navn 'Zombinder'. Denne platform giver trusselsaktører mulighed for at binde en beskadiget kode til legitime Android-applikationer, hvilket gør det muligt at distribuere dem på en uopdagelig måde.

Angrebskampagnerne blev opdaget af cybersikkerhedsforskere. Ifølge deres resultater har den truende operation formået at påvirke tusindvis af ofre. Faktisk er det kun Erbium Stealer- truslen, der blev implementeret som en del af angrebet, der har formået at inficere 1.300 enheder.

Infektionsvektorer og leveret malware

De cyberkriminelle har skabt et lovligt udseende websted som et lokkemiddel til at narre brugere til at downloade malware. Det korrupte websted giver angiveligt brugere en ansøgning om Wi-Fi-autorisation. Besøgende har to valgmuligheder, afhængigt af deres foretrukne platform. De kan klikke på enten 'Download til Windows' eller 'Download til Android'-knapperne. I begge tilfælde vil den downloadede applikation bære den korrupte kode, men de implementerede trusler varierer afhængigt af brugerens system.

Hvis de besøgende på webstedet klikker på knappen 'Download til Windows', kan de få deres computere inficeret af Erbium Stealer, Laplas Clipper eller Aurora Info-stealer. Disse stykker malware er sofistikerede værktøjer, der bruges af cyberkriminelle til at indsamle personlige oplysninger, såsom adgangskoder, kreditkortnumre og bankoplysninger. De trusselsaktører, der bruger disse stammer, køber typisk adgang til dem fra de oprindelige udviklere for et par hundrede amerikanske dollars om måneden. Når de først er inde i en computer, kan disse trusler forårsage betydelig skade.

På den anden side fører knappen 'Download til Android' til en prøve af Ermac Banking Trojan , klassificeret af infosec-forskerne som Ermac.C. Denne truende variant har mange skadelige funktioner, herunder evnen til at overlejre applikationer til tyveri af personlige oplysninger, keylogging, indsamling af e-mails fra Gmail-applikationer, opsnapning af to-faktor autentificeringskoder og indsamling af frøsætninger fra flere kryptovaluta-punge.

Zombinder-platformen våbengør legitime applikationer

Android-grenen af den truende kampagne brugte en Dark Net-tjeneste ved navn 'Zombinder'. Platformen er i stand til at vedhæfte kompromitterede APK'er til ellers legitime Android-applikationer. Ifølge eksperterne blev Zombinder først lanceret tilbage i marts 2022 og er siden da begyndt at vinde indpas blandt cyberkriminelle. Blandt de applikationer, der blev distribueret som en del af operationen, var ændrede versioner af en fodbold live-streaming-applikation, Instagram-applikationen osv.

Brug af Zombinder giver angribere mulighed for at bevare den oprindelige funktionalitet af de valgte applikationer, hvilket får dem til at fremstå langt mindre mistænkelige for ofrene. Zombinder opnår dette resultat ved at injicere en tilsløret malware-loader/dropper i applikationerne. Efter installationen vil programmet fungere som forventet, indtil der vises en prompt, der hævder, at applikationen skal opdateres. Hvis brugeren accepterer, vil den ellers legitimt udseende applikation hente og downloade Ermac-truslen til enheden.