پلتفرم بدافزار Zombinder
عوامل تهدید بد فکر راه جدیدی برای انتشار بدافزار و آلوده کردن قربانیان ناآگاه پیدا کرده اند - از طریق استفاده از یک پلتفرم دارک نت به نام "Zombinder". این پلتفرم به عوامل تهدید اجازه میدهد تا یک کد خراب را به برنامههای Android قانونی متصل کنند و آنها را قادر میسازد به شکلی غیرقابل کشف توزیع شوند.
کمپین های حمله توسط محققان امنیت سایبری کشف شد. بر اساس یافته های آنها، این عملیات تهدیدآمیز توانسته است هزاران قربانی را تحت تأثیر قرار دهد. در واقع، فقط تهدید Erbium Stealer که به عنوان بخشی از حمله به کار گرفته شده است، توانسته 1300 دستگاه را آلوده کند.
ناقلین عفونت و بدافزار تحویل داده شده
مجرمان سایبری وب سایتی با ظاهر قانونی ایجاد کرده اند تا فریب کاربران را برای دانلود بدافزار فریب دهند. ظاهراً این سایت خراب برنامه ای برای مجوز Wi-Fi در اختیار کاربران قرار می دهد. بسته به پلتفرم مورد علاقه بازدیدکنندگان، دو انتخاب ارائه می شود. آنها میتوانند روی دکمههای «دانلود برای ویندوز» یا «دانلود برای اندروید» کلیک کنند. در هر دو مورد، برنامه دانلود شده دارای کد خراب خواهد بود، اما تهدیدات مستقر شده بر اساس سیستم کاربر متفاوت است.
اگر بازدیدکنندگان وبسایت روی دکمه «دانلود برای ویندوز» کلیک کنند، ممکن است رایانههایشان توسط Erbium Stealer، Laplas Clipper یا Aurora Info-stealer آلوده شود. این قطعات بدافزار ابزارهای پیچیدهای هستند که توسط مجرمان سایبری برای جمعآوری اطلاعات شخصی مانند رمز عبور، شماره کارت اعتباری و جزئیات بانکی استفاده میشوند. عوامل تهدید که از این گونهها استفاده میکنند معمولاً دسترسی به آنها را از توسعهدهندگان اصلی با چند صد دلار آمریکا در ماه خریداری میکنند. زمانی که این تهدیدها وارد رایانه می شوند، می توانند آسیب قابل توجهی ایجاد کنند.
از سوی دیگر، دکمه "دانلود برای اندروید" به نمونه ای از تروجان بانکی Ermac منجر می شود که توسط محققان infosec به عنوان Ermac.C طبقه بندی شده است. این نوع تهدیدآمیز عملکردهای مضر زیادی دارد، از جمله توانایی همپوشانی برنامهها برای سرقت اطلاعات شخصی، ثبت کلید، جمعآوری ایمیلها از برنامههای Gmail، رهگیری کدهای احراز هویت دو مرحلهای، و جمعآوری عبارات اولیه از چندین کیف پول ارزهای دیجیتال.
پلتفرم Zombinder برنامه های قانونی را به سلاح تبدیل می کند
شعبه اندروید کمپین تهدیدآمیز از یک سرویس دارک نت به نام "Zombinder" استفاده کرد. این پلتفرم میتواند فایلهای APK در معرض خطر را به برنامههای اندرویدی که در غیر این صورت قانونی هستند، متصل کند. به گفته کارشناسان، Zombinder برای اولین بار در مارس 2022 راه اندازی شد و از آن زمان، شروع به جذب در بین مجرمان سایبری کرده است. در میان برنامه های توزیع شده به عنوان بخشی از عملیات، نسخه های تغییر یافته یک برنامه پخش زنده فوتبال، برنامه اینستاگرام و غیره بود.
استفاده از Zombinder به مهاجمان اجازه می دهد تا عملکرد اصلی برنامه های انتخابی را حفظ کنند و باعث می شود که آنها برای قربانیان بسیار کمتر مشکوک به نظر برسند. Zombinder این نتیجه را با تزریق یک بارگذار/ قطره چکان بدافزار مبهم به برنامه ها به دست می آورد. پس از نصب، برنامه همانطور که انتظار می رود کار می کند، تا زمانی که درخواستی مبنی بر اینکه برنامه باید به روز شود نمایش داده شود. اگر کاربر بپذیرد، برنامه کاربردی که ظاهر قانونی دارد تهدید Ermac را برای دستگاه دریافت و دانلود می کند.