پلتفرم بدافزار Zombinder

عوامل تهدید بد فکر راه جدیدی برای انتشار بدافزار و آلوده کردن قربانیان ناآگاه پیدا کرده اند - از طریق استفاده از یک پلتفرم دارک نت به نام "Zombinder". این پلتفرم به عوامل تهدید اجازه می‌دهد تا یک کد خراب را به برنامه‌های Android قانونی متصل کنند و آنها را قادر می‌سازد به شکلی غیرقابل کشف توزیع شوند.

کمپین های حمله توسط محققان امنیت سایبری کشف شد. بر اساس یافته های آنها، این عملیات تهدیدآمیز توانسته است هزاران قربانی را تحت تأثیر قرار دهد. در واقع، فقط تهدید Erbium Stealer که به عنوان بخشی از حمله به کار گرفته شده است، توانسته 1300 دستگاه را آلوده کند.

ناقلین عفونت و بدافزار تحویل داده شده

مجرمان سایبری وب سایتی با ظاهر قانونی ایجاد کرده اند تا فریب کاربران را برای دانلود بدافزار فریب دهند. ظاهراً این سایت خراب برنامه ای برای مجوز Wi-Fi در اختیار کاربران قرار می دهد. بسته به پلتفرم مورد علاقه بازدیدکنندگان، دو انتخاب ارائه می شود. آنها می‌توانند روی دکمه‌های «دانلود برای ویندوز» یا «دانلود برای اندروید» کلیک کنند. در هر دو مورد، برنامه دانلود شده دارای کد خراب خواهد بود، اما تهدیدات مستقر شده بر اساس سیستم کاربر متفاوت است.

اگر بازدیدکنندگان وب‌سایت روی دکمه «دانلود برای ویندوز» کلیک کنند، ممکن است رایانه‌هایشان توسط Erbium Stealer، Laplas Clipper یا Aurora Info-stealer آلوده شود. این قطعات بدافزار ابزارهای پیچیده‌ای هستند که توسط مجرمان سایبری برای جمع‌آوری اطلاعات شخصی مانند رمز عبور، شماره کارت اعتباری و جزئیات بانکی استفاده می‌شوند. عوامل تهدید که از این گونه‌ها استفاده می‌کنند معمولاً دسترسی به آنها را از توسعه‌دهندگان اصلی با چند صد دلار آمریکا در ماه خریداری می‌کنند. زمانی که این تهدیدها وارد رایانه می شوند، می توانند آسیب قابل توجهی ایجاد کنند.

از سوی دیگر، دکمه "دانلود برای اندروید" به نمونه ای از تروجان بانکی Ermac منجر می شود که توسط محققان infosec به عنوان Ermac.C طبقه بندی شده است. این نوع تهدیدآمیز عملکردهای مضر زیادی دارد، از جمله توانایی همپوشانی برنامه‌ها برای سرقت اطلاعات شخصی، ثبت کلید، جمع‌آوری ایمیل‌ها از برنامه‌های Gmail، رهگیری کدهای احراز هویت دو مرحله‌ای، و جمع‌آوری عبارات اولیه از چندین کیف پول ارزهای دیجیتال.

پلتفرم Zombinder برنامه های قانونی را به سلاح تبدیل می کند

شعبه اندروید کمپین تهدیدآمیز از یک سرویس دارک نت به نام "Zombinder" استفاده کرد. این پلتفرم می‌تواند فایل‌های APK در معرض خطر را به برنامه‌های اندرویدی که در غیر این صورت قانونی هستند، متصل کند. به گفته کارشناسان، Zombinder برای اولین بار در مارس 2022 راه اندازی شد و از آن زمان، شروع به جذب در بین مجرمان سایبری کرده است. در میان برنامه های توزیع شده به عنوان بخشی از عملیات، نسخه های تغییر یافته یک برنامه پخش زنده فوتبال، برنامه اینستاگرام و غیره بود.

استفاده از Zombinder به مهاجمان اجازه می دهد تا عملکرد اصلی برنامه های انتخابی را حفظ کنند و باعث می شود که آنها برای قربانیان بسیار کمتر مشکوک به نظر برسند. Zombinder این نتیجه را با تزریق یک بارگذار/ قطره چکان بدافزار مبهم به برنامه ها به دست می آورد. پس از نصب، برنامه همانطور که انتظار می رود کار می کند، تا زمانی که درخواستی مبنی بر اینکه برنامه باید به روز شود نمایش داده شود. اگر کاربر بپذیرد، برنامه کاربردی که ظاهر قانونی دارد تهدید Ermac را برای دستگاه دریافت و دانلود می کند.