Zombinder kenkėjiškų programų platforma

Blogai mąstantys grėsmių veikėjai rado naują būdą platinti kenkėjiškas programas ir užkrėsti nieko neįtariančias aukas – naudodami „Dark Net“ platformą, pavadintą „Zombinder“. Ši platforma leidžia grėsmės veikėjams susieti sugadintą kodą su teisėtomis „Android“ programomis, kad jos būtų platinamos neaptinkamai.

Atakų kampanijas aptiko kibernetinio saugumo tyrėjai. Remiantis jų išvadomis, grėsminga operacija sugebėjo paveikti tūkstančius aukų. Tiesą sakant, tik „ Erbium Stealer “ grėsmė, įdiegta kaip atakos dalis, sugebėjo užkrėsti 1300 įrenginių.

Infekcijos vektoriai ir pristatyta kenkėjiška programa

Kibernetiniai nusikaltėliai sukūrė teisėtai atrodančią svetainę, siekdami priversti vartotojus atsisiųsti kenkėjiškų programų. Tariamai sugadinta svetainė vartotojams teikia Wi-Fi prieigos teisės programą. Lankytojai turi du pasirinkimus, priklausomai nuo pageidaujamos platformos. Jie gali spustelėti arba „Atsisiųsti“, skirtą „Windows“, arba „Atsisiųsti“, skirtą „Android“. Abiem atvejais atsisiųstoje programoje bus sugadintas kodas, tačiau įdiegtos grėsmės skiriasi priklausomai nuo vartotojo sistemos.

Jei svetainės lankytojai spustelėja mygtuką „Atsisiųsti, skirtą Windows“, jų kompiuteriai gali būti užkrėsti Erbium Stealer, Laplas Clipper arba Aurora Info-stealer. Šios kenkėjiškos programos yra sudėtingi įrankiai, kuriuos naudoja kibernetiniai nusikaltėliai, rinkdami asmeninę informaciją, pvz., slaptažodžius, kredito kortelių numerius ir banko duomenis. Šias padermes naudojantys grėsmės veikėjai paprastai perka prieigą prie jų iš pirminių kūrėjų už kelis šimtus JAV dolerių per mėnesį. Patekusios į kompiuterį šios grėsmės gali padaryti didelę žalą.

Kita vertus, mygtukas „Atsisiųsti, skirtas Android“ nukreipia į „ Ermac Banking Trojan “ pavyzdį, kurį infosec tyrinėtojai priskyrė Ermac.C. Šis grėsmingas variantas turi daug žalingų funkcijų, įskaitant galimybę perdengti programas, skirtas asmeninės informacijos vagystei, klaviatūros registravimas, elektroninių laiškų rinkimas iš Gmail programų, dviejų veiksnių autentifikavimo kodų perėmimas ir pradinių frazių rinkimas iš kelių kriptovaliutų piniginių.

Zombinder platforma apginkluoja teisėtas programas

Grėsmingos kampanijos „Android“ filialas naudojo „Dark Net“ paslaugą pavadinimu „Zombinder“. Platforma gali prijungti pažeistus APK prie kitų teisėtų „Android“ programų. Pasak ekspertų, „Zombinder“ pirmą kartą buvo paleistas 2022 m. kovą ir nuo tada pradėjo populiarėti tarp kibernetinių nusikaltėlių. Tarp programų, platinamų vykdant operaciją, buvo modifikuotos futbolo tiesioginės transliacijos programos, „Instagram“ programos ir kt.

Naudojant Zombinder, užpuolikai gali išsaugoti pradines pasirinktų programų funkcijas, todėl aukoms jos atrodo daug mažiau įtartinos. „Zombinder“ pasiekia šį rezultatą į programas įterpdamas užmaskuotą kenkėjiškų programų įkroviklį / lašintuvą. Po įdiegimo programa veiks taip, kaip tikėtasi, kol bus rodomas raginimas, kad programą reikia atnaujinti. Jei vartotojas sutiks, kitaip teisėtai atrodanti programa pateiks ir atsiųs Ermac grėsmę į įrenginį.