Piattaforma malware Zombinder

Gli attori delle minacce malintenzionati hanno trovato un nuovo modo per diffondere malware e infettare vittime ignare, attraverso l'uso di una piattaforma Dark Net chiamata "Zombinder". Questa piattaforma consente agli attori delle minacce di associare un codice danneggiato ad applicazioni Android legittime, consentendo loro di essere distribuite in modo non rilevabile.

Le campagne di attacco sono state scoperte dai ricercatori di sicurezza informatica. Secondo i loro risultati, l'operazione minacciosa è riuscita a colpire migliaia di vittime. Infatti, solo la minaccia Erbium Stealer schierata come parte dell'attacco è riuscita a infettare 1.300 dispositivi.

Vettori di infezione e malware distribuito

I criminali informatici hanno creato un sito Web dall'aspetto legittimo come esca per indurre gli utenti a scaricare malware. Il sito corrotto presumibilmente fornisce agli utenti un'applicazione per l'autorizzazione Wi-Fi. Ai visitatori vengono offerte due scelte, a seconda della loro piattaforma preferita. Possono fare clic sui pulsanti "Download per Windows" o "Download per Android". In entrambi i casi, l'applicazione scaricata conterrà il codice danneggiato, ma le minacce implementate differiscono in base al sistema dell'utente.

Se i visitatori del sito Web fanno clic sul pulsante "Download per Windows", i loro computer potrebbero essere infettati da Erbium Stealer, Laplas Clipper o Aurora Info-stealer. Questi malware sono strumenti sofisticati utilizzati dai criminali informatici per raccogliere informazioni personali, come password, numeri di carte di credito e coordinate bancarie. Gli attori delle minacce che utilizzano questi ceppi in genere acquistano l'accesso ad essi dagli sviluppatori originali per poche centinaia di dollari USA al mese. Una volta all'interno di un computer, queste minacce possono causare danni significativi.

Il pulsante 'Download per Android', invece, conduce a un campione del trojan bancario Ermac , classificato dai ricercatori di infosec come Ermac.C. Questa variante minacciosa ha molte funzioni dannose, tra cui la capacità di sovrapporre applicazioni per il furto di informazioni personali, il keylogging, la raccolta di e-mail dalle applicazioni Gmail, l'intercettazione di codici di autenticazione a due fattori e la raccolta di frasi seme da diversi portafogli di criptovaluta.

La piattaforma Zombinder trasforma le applicazioni legittime in armi

Il ramo Android della minacciosa campagna utilizzava un servizio Dark Net chiamato "Zombinder". La piattaforma è in grado di collegare APK compromessi ad applicazioni Android altrimenti legittime. Secondo gli esperti, Zombinder è stato lanciato per la prima volta nel marzo 2022 e, da allora, ha iniziato a guadagnare terreno tra i criminali informatici. Tra le applicazioni distribuite nell'ambito dell'operazione, c'erano versioni modificate di un'applicazione di live streaming di calcio, l'applicazione Instagram, ecc.

L'uso di Zombinder consente agli aggressori di preservare la funzionalità originale delle applicazioni scelte, facendole apparire molto meno sospette alle vittime. Zombinder raggiunge questo risultato iniettando un caricatore/dropper di malware offuscato nelle applicazioni. Dopo l'installazione, il programma funzionerà come previsto, fino a quando non viene visualizzato un messaggio che richiede l'aggiornamento dell'applicazione. Se l'utente accetta, l'applicazione dall'aspetto altrimenti legittimo recupererà e scaricherà la minaccia Ermac sul dispositivo.