Platforma zlonamerne programske opreme Zombinder

Zlonamerni akterji groženj so našli nov način za širjenje zlonamerne programske opreme in okužbo nič hudega slutečih žrtev – z uporabo platforme Dark Net z imenom Zombinder. Ta platforma akterjem groženj omogoča, da poškodovano kodo vežejo na legitimne aplikacije za Android in tako omogočijo njihovo distribucijo na nezaznaven način.

Napadne kampanje so odkrili raziskovalci kibernetske varnosti. Grozeča operacija je po njihovih ugotovitvah prizadela na tisoče žrtev. Pravzaprav je samo grožnja Erbium Stealer , uporabljena kot del napada, uspela okužiti 1300 naprav.

Vektorji okužbe in dostavljena zlonamerna programska oprema

Kibernetski kriminalci so ustvarili legitimno spletno stran kot vabo, da uporabnike pretentajo v prenos zlonamerne programske opreme. Poškodovana stran naj bi uporabnikom ponujala aplikacijo za avtorizacijo Wi-Fi. Obiskovalcem sta na voljo dve možnosti, odvisno od želene platforme. Lahko kliknejo gumb »Prenos za Windows« ali »Prenos za Android«. V obeh primerih bo prenesena aplikacija nosila poškodovano kodo, vendar se uporabljene grožnje razlikujejo glede na uporabnikov sistem.

Če obiskovalci spletnega mesta kliknejo gumb »Prenesi za Windows«, so lahko njihovi računalniki okuženi s programom Erbium Stealer, Laplas Clipper ali Aurora Info-stealer. Ti deli zlonamerne programske opreme so sofisticirana orodja, ki jih uporabljajo kibernetski kriminalci za zbiranje osebnih podatkov, kot so gesla, številke kreditnih kartic in bančni podatki. Akterji groženj, ki uporabljajo te seve, običajno kupijo dostop do njih od izvirnih razvijalcev za nekaj sto ameriških dolarjev na mesec. Ko so te grožnje v računalniku, lahko povzročijo znatno škodo.

Po drugi strani pa gumb »Prenos za Android« vodi do vzorca bančnega trojanca Ermac , ki so ga raziskovalci infosec klasificirali kot Ermac.C. Ta nevarna različica ima veliko škodljivih funkcij, vključno z zmožnostjo prekrivanja aplikacij za krajo osebnih podatkov, beleženje tipk, zbiranje e-pošte iz aplikacij Gmail, prestrezanje dvofaktorskih kod za preverjanje pristnosti in zbiranje začetnih stavkov iz več denarnic za kriptovalute.

Platforma Zombinder oroži legitimne aplikacije

Androidova veja grozilne kampanje je uporabila storitev Dark Net z imenom Zombinder. Platforma lahko pripne ogrožene APK-je na sicer zakonite aplikacije za Android. Po mnenju strokovnjakov je bil Zombinder prvič lansiran marca 2022 in je od takrat začel pridobivati pozornost med kiberkriminalci. Med aplikacijami, ki so bile razdeljene v okviru operacije, so bile spremenjene različice aplikacije za prenos nogometa v živo, aplikacije Instagram itd.

Uporaba Zombinderja omogoča napadalcem, da ohranijo prvotno funkcionalnost izbranih aplikacij, zaradi česar so žrtve videti veliko manj sumljive. Zombinder doseže ta rezultat tako, da v aplikacije vstavi zakriti nalagalnik zlonamerne programske opreme. Po namestitvi bo program deloval po pričakovanjih, dokler se ne prikaže poziv, da je treba aplikacijo posodobiti. Če uporabnik sprejme, bo sicer zakonita aplikacija pridobila in prenesla grožnjo Ermac v napravo.