Zombinder Malware-plattform

Dårlige trusselaktører har funnet en ny måte å spre skadelig programvare og infisere intetanende ofre - gjennom bruk av en Dark Net-plattform kalt "Zombinder." Denne plattformen lar trusselaktører binde en ødelagt kode til legitime Android-applikasjoner, slik at de kan distribueres på en uoppdagelig måte.

Angrepskampanjene ble oppdaget av cybersikkerhetsforskere. Ifølge funnene deres har den truende operasjonen klart å påvirke tusenvis av ofre. Faktisk har bare Erbium Stealer -trusselen utplassert som en del av angrepet klart å infisere 1300 enheter.

Infeksjonsvektorer og levert skadelig programvare

Nettkriminelle har laget et nettsted som ser lovlig ut som et lokkemiddel for å lure brukere til å laste ned skadelig programvare. Det ødelagte nettstedet gir visstnok brukere et program for Wi-Fi-autorisasjon. Besøkende får to valg, avhengig av deres foretrukne plattform. De kan enten klikke på knappene "Last ned for Windows" eller "Last ned for Android". I begge tilfeller vil den nedlastede applikasjonen bære den ødelagte koden, men de utplasserte truslene varierer basert på brukerens system.

Hvis besøkende på nettstedet klikker på 'Last ned for Windows'-knappen, kan de få datamaskinene sine infisert av Erbium Stealer, Laplas Clipper eller Aurora Info-stealer. Disse delene av skadelig programvare er sofistikerte verktøy som brukes av nettkriminelle for å samle inn personlig informasjon, for eksempel passord, kredittkortnumre og bankdetaljer. Trusselaktørene som bruker disse stammene kjøper vanligvis tilgang til dem fra de opprinnelige utviklerne for noen hundre amerikanske dollar per måned. Når du er inne i en datamaskin, kan disse truslene forårsake betydelig skade.

På den annen side fører 'Last ned for Android'-knappen til et utvalg av Ermac Banking Trojan , klassifisert av infosec-forskerne som Ermac.C. Denne truende varianten har mange skadelige funksjoner, inkludert muligheten til å overlegge applikasjoner for personlig informasjonstyveri, tastelogging, samle e-poster fra Gmail-applikasjoner, avskjære tofaktorautentiseringskoder og samle frøsetninger fra flere kryptovaluta-lommebøker.

Zombinder-plattformen våpner legitime applikasjoner

Android-grenen til den truende kampanjen brukte en Dark Net-tjeneste kalt 'Zombinder.' Plattformen er i stand til å knytte kompromitterte APK-er til ellers legitime Android-applikasjoner. I følge ekspertene ble Zombinder først lansert tilbake i mars 2022 og har siden den gang begynt å få gjennomslag blant nettkriminelle. Blant applikasjonene som ble distribuert som en del av operasjonen, var modifiserte versjoner av en fotball-live-streaming-applikasjon, Instagram-applikasjonen, etc.

Ved å bruke Zombinder kan angripere bevare den opprinnelige funksjonaliteten til de valgte applikasjonene, slik at de fremstår som langt mindre mistenkelige for ofrene. Zombinder oppnår dette resultatet ved å injisere en skjult skadevarelaster/dropper i applikasjonene. Etter installasjonen vil programmet fungere som forventet, inntil en melding som hevder at applikasjonen må oppdateres vises. Hvis brukeren godtar, vil den ellers legitime applikasjonen hente og laste ned Ermac-trusselen til enheten.