Zombinder Malware Platform

שחקני איומים רעים מצאו דרך חדשה להפיץ תוכנות זדוניות ולהדביק קורבנות תמימים - באמצעות שימוש בפלטפורמת Dark Net בשם 'Zombinder'. פלטפורמה זו מאפשרת לשחקני איומים לקשור קוד פגום ליישומי אנדרואיד לגיטימיים, מה שמאפשר להפיץ אותם בצורה בלתי ניתנת לזיהוי.

קמפיינים לתקיפה התגלו על ידי חוקרי אבטחת סייבר. לפי ממצאיהם, המבצע המאיים הצליח להשפיע על אלפי קורבנות. למעשה, רק איום ה- Erbium Stealer שנפרס כחלק מהתקיפה הצליח להדביק 1,300 מכשירים.

וקטורי זיהום ותוכנות זדוניות שנמסרו

פושעי הסייבר יצרו אתר בעל מראה לגיטימי כפיתוי להערים על משתמשים להוריד תוכנות זדוניות. האתר הפגום כביכול מספק למשתמשים אפליקציה להרשאת Wi-Fi. למבקרים יש שתי אפשרויות, בהתאם לפלטפורמה המועדפת עליהם. הם יכולים ללחוץ על הלחצנים 'הורד עבור Windows' או 'הורד עבור Android'. בשני המקרים, האפליקציה שהורדת תישא את הקוד הפגום, אך האיומים שנפרסו שונים בהתאם למערכת של המשתמש.

אם המבקרים באתר לוחצים על הלחצן 'הורד עבור Windows', ייתכן שהמחשבים שלהם נגועים בגנבת Erbium, ב- Laplas Clipper או בגניבת המידע של אורורה . חלקי תוכנה זדונית אלו הם כלים מתוחכמים המשמשים פושעי סייבר לאיסוף מידע אישי, כגון סיסמאות, מספרי כרטיסי אשראי ופרטי בנק. גורמי האיום המשתמשים בזנים אלה בדרך כלל קונים גישה אליהם מהמפתחים המקוריים תמורת כמה מאות דולרים לחודש. ברגע שנכנס למחשב, איומים אלו עלולים לגרום לנזק משמעותי.

מצד שני, כפתור 'הורד לאנדרואיד' מוביל לדגימה של הטרויאני Ermac Banking Trojan , מסווג על ידי חוקרי infosec כ-Ermac.C. לגרסה המאיימת הזו יש פונקציות מזיקות רבות, כולל היכולת לשכב על יישומים לגניבת מידע אישי, רישום מפתחות, איסוף מיילים מיישומי Gmail, יירוט קודי אימות דו-גורמי ואיסוף ביטויים ראשוניים ממספר ארנקים של מטבעות קריפטוגרפיים.

פלטפורמת Zombinder מייצרת יישומים לגיטימיים

סניף האנדרואיד של הקמפיין המאיים השתמש בשירות Dark Net בשם 'Zombinder'. הפלטפורמה מסוגלת לצרף חבילות APK שנפגעו ליישומי אנדרואיד לגיטימיים אחרת. לדברי המומחים, זומבנדר הושק לראשונה במרץ 2022 ומאז החלה לצבור אחיזה בקרב פושעי סייבר. בין האפליקציות שהופצו במסגרת המבצע, היו גרסאות מתוקנות של אפליקציית כדורגל בשידור חי, אפליקציית אינסטגרם וכו'.

השימוש בזומבנדר מאפשר לתוקפים לשמר את הפונקציונליות המקורית של היישומים שנבחרו, מה שגורם להם להיראות הרבה פחות חשודים בעיני הקורבנות. Zombinder משיג תוצאה זו על ידי הזרקת מטעין/מטפטף של תוכנות זדוניות מעורפלות לתוך האפליקציות. לאחר ההתקנה, התוכנית תפעל כמצופה, עד שתוצג הנחיה הטוענת שיש לעדכן את האפליקציה. אם המשתמש מסכים, האפליקציה שנראית לגיטימית אחרת תביא ותוריד את איום Ermac למכשיר.