Πλατφόρμα κακόβουλου λογισμικού Zombinder

Οι κακομαθημένοι φορείς απειλών βρήκαν έναν νέο τρόπο για να διαδώσουν κακόβουλο λογισμικό και να μολύνουν ανυποψίαστα θύματα - μέσω της χρήσης μιας πλατφόρμας Dark Net που ονομάζεται «Zombinder». Αυτή η πλατφόρμα επιτρέπει στους φορείς απειλών να δεσμεύουν έναν κατεστραμμένο κώδικα σε νόμιμες εφαρμογές Android, επιτρέποντάς τους να διανέμονται με μη ανιχνεύσιμο τρόπο.

Οι εκστρατείες επίθεσης ανακαλύφθηκαν από ερευνητές κυβερνοασφάλειας. Σύμφωνα με τα ευρήματά τους, η απειλητική επιχείρηση κατάφερε να επηρεάσει χιλιάδες θύματα. Στην πραγματικότητα, μόνο η απειλή Erbium Stealer που αναπτύχθηκε ως μέρος της επίθεσης κατάφερε να μολύνει 1.300 συσκευές.

Φορείς μόλυνσης και παραδοθέν κακόβουλο λογισμικό

Οι κυβερνοεγκληματίες έχουν δημιουργήσει έναν ιστότοπο με νόμιμη εμφάνιση ως δέλεαρ για να εξαπατήσουν τους χρήστες να κατεβάσουν κακόβουλο λογισμικό. Ο κατεστραμμένος ιστότοπος υποτίθεται ότι παρέχει στους χρήστες μια εφαρμογή για εξουσιοδότηση Wi-Fi. Στους επισκέπτες παρέχονται δύο επιλογές, ανάλογα με την προτιμώμενη πλατφόρμα τους. Μπορούν να κάνουν κλικ είτε στα κουμπιά "Λήψη για Windows" ή "Λήψη για Android". Και στις δύο περιπτώσεις, η εφαρμογή λήψης θα φέρει τον κατεστραμμένο κώδικα, αλλά οι απειλές που αναπτύσσονται διαφέρουν ανάλογα με το σύστημα του χρήστη.

Εάν οι επισκέπτες του ιστότοπου κάνουν κλικ στο κουμπί "Λήψη για Windows", ενδέχεται να έχουν μολυνθεί οι υπολογιστές τους από το Erbium Stealer, το Laplas Clipper ή το Aurora Info-stealer. Αυτά τα κομμάτια κακόβουλου λογισμικού είναι εξελιγμένα εργαλεία που χρησιμοποιούνται από εγκληματίες του κυβερνοχώρου για τη συλλογή προσωπικών πληροφοριών, όπως κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών και τραπεζικά στοιχεία. Οι φορείς απειλών που χρησιμοποιούν αυτά τα στελέχη συνήθως αγοράζουν πρόσβαση σε αυτά από τους αρχικούς προγραμματιστές για μερικές εκατοντάδες δολάρια ΗΠΑ το μήνα. Μόλις μπείτε σε έναν υπολογιστή, αυτές οι απειλές μπορούν να προκαλέσουν σημαντική ζημιά.

Από την άλλη πλευρά, το κουμπί «Λήψη για Android» οδηγεί σε ένα δείγμα του Ermac Banking Trojan , ταξινομημένο από τους ερευνητές του infosec ως Ermac.C. Αυτή η απειλητική παραλλαγή έχει πολλές επιβλαβείς λειτουργίες, συμπεριλαμβανομένης της δυνατότητας επικάλυψης εφαρμογών για κλοπή προσωπικών πληροφοριών, καταγραφή πληκτρολογίου, συλλογή μηνυμάτων ηλεκτρονικού ταχυδρομείου από εφαρμογές Gmail, υποκλοπή κωδικών ελέγχου ταυτότητας δύο παραγόντων και συλλογή φράσεων από πολλά πορτοφόλια κρυπτονομισμάτων.

Η πλατφόρμα Zombinder οπλίζει νόμιμες εφαρμογές

Ο κλάδος Android της απειλητικής καμπάνιας χρησιμοποίησε μια υπηρεσία Dark Net με το όνομα "Zombinder". Η πλατφόρμα είναι σε θέση να επισυνάψει παραβιασμένα APK σε κατά τα άλλα νόμιμες εφαρμογές Android. Σύμφωνα με τους ειδικούς, το Zombinder κυκλοφόρησε για πρώτη φορά τον Μάρτιο του 2022 και, από τότε, άρχισε να κερδίζει έλξη μεταξύ των εγκληματιών του κυβερνοχώρου. Μεταξύ των εφαρμογών που διανεμήθηκαν στο πλαίσιο της επιχείρησης, ήταν τροποποιημένες εκδόσεις μιας εφαρμογής ζωντανής ροής ποδοσφαίρου, της εφαρμογής Instagram κ.λπ.

Η χρήση του Zombinder επιτρέπει στους εισβολείς να διατηρήσουν την αρχική λειτουργικότητα των επιλεγμένων εφαρμογών, κάνοντάς τες να φαίνονται πολύ λιγότερο καχύποπτες στα θύματα. Το Zombinder επιτυγχάνει αυτό το αποτέλεσμα με την έγχυση ενός σκοτεινού malware loader/ dropper στις εφαρμογές. Μετά την εγκατάσταση, το πρόγραμμα θα λειτουργεί όπως αναμένεται, μέχρι να εμφανιστεί ένα μήνυμα που ισχυρίζεται ότι η εφαρμογή πρέπει να ενημερωθεί. Εάν ο χρήστης αποδεχτεί, η κατά τα άλλα νόμιμη εφαρμογή θα λάβει και θα πραγματοποιήσει λήψη της απειλής Ermac στη συσκευή.