Platforma e Malware Zombinder

Aktorët me mendje të keqe të kërcënimit kanë gjetur një mënyrë të re për të përhapur malware dhe për të infektuar viktima që nuk dyshojnë - përmes përdorimit të një platforme Dark Net të quajtur 'Zombinder'. Kjo platformë i lejon aktorët e kërcënimit të lidhin një kod të korruptuar me aplikacionet e ligjshme Android, duke i mundësuar ato të shpërndahen në një mënyrë të pazbulueshme.

Fushatat e sulmit u zbuluan nga studiues të sigurisë kibernetike. Sipas gjetjeve të tyre, operacioni kërcënues ka arritur të prekë mijëra viktima. Në fakt, vetëm kërcënimi Erbium Stealer i vendosur si pjesë e sulmit ka arritur të infektojë 1300 pajisje.

Vektorët e infeksionit dhe malware të dorëzuar

Kriminelët kibernetikë kanë krijuar një faqe interneti me pamje legjitime si një joshje për të mashtruar përdoruesit për të shkarkuar malware. Faqja e korruptuar supozohet se u ofron përdoruesve një aplikacion për autorizim Wi-Fi. Vizitorëve u ofrohen dy zgjedhje, në varësi të platformës së tyre të preferuar. Ata mund të klikojnë ose në butonat 'Shkarko për Windows' ose 'Shkarko për Android'. Në të dyja rastet, aplikacioni i shkarkuar do të ketë kodin e dëmtuar, por kërcënimet e vendosura ndryshojnë në bazë të sistemit të përdoruesit.

Nëse vizitorët e faqes së internetit klikojnë në butonin 'Shkarko për Windows', ata mund t'i kenë kompjuterët e tyre të infektuar nga Erbium Stealer, Laplas Clipper ose Aurora Info-stealer. Këto pjesë të malware janë mjete të sofistikuara të përdorura nga kriminelët kibernetikë për të mbledhur informacione personale, të tilla si fjalëkalime, numra të kartave të kreditit dhe detaje bankare. Aktorët e kërcënimit që përdorin këto lloje zakonisht blejnë akses në to nga zhvilluesit origjinalë për disa qindra dollarë amerikanë në muaj. Pasi futen në një kompjuter, këto kërcënime mund të shkaktojnë dëme të konsiderueshme.

Nga ana tjetër, butoni 'Shkarko për Android' çon në një mostër të Trojanit Bankar Ermac , të klasifikuar nga studiuesit e infosec si Ermac.C. Ky variant kërcënues ka shumë funksione të dëmshme, duke përfshirë aftësinë për të mbivendosur aplikacionet për vjedhjen e informacionit personal, regjistrimin e çelësave, mbledhjen e emaileve nga aplikacionet e Gmail, përgjimin e kodeve të vërtetimit me dy faktorë dhe mbledhjen e frazave nga disa kuleta kriptomonedhash.

Platforma Zombinder armatizon aplikacionet legjitime

Dega Android e fushatës kërcënuese përdori një shërbim Dark Net të quajtur 'Zombinder'. Platforma është në gjendje të bashkëngjisë APK të komprometuara në aplikacione të ligjshme Android. Sipas ekspertëve, Zombinder u lançua për herë të parë në mars 2022 dhe, që atëherë, ka filluar të fitojë tërheqje në mesin e kriminelëve kibernetikë. Ndër aplikacionet e shpërndara si pjesë e operacionit, ishin versionet e modifikuara të një aplikacioni të transmetimit live të futbollit, aplikacioni Instagram, etj.

Përdorimi i Zombinder lejon sulmuesit të ruajnë funksionalitetin origjinal të aplikacioneve të zgjedhura, duke i bërë ato të duken shumë më pak të dyshimta për viktimat. Zombinder e arrin këtë rezultat duke injektuar një ngarkues/pikues malware të turbullt në aplikacione. Pas instalimit, programi do të funksionojë siç pritej, derisa të shfaqet një mesazh që pretendon se aplikacioni duhet të përditësohet. Nëse përdoruesi pranon, aplikacioni me pamje tjetër legjitime do të marrë dhe shkarkojë kërcënimin Ermac në pajisje.