Zombinder Malware-plattform

Illsinnade hotaktörer har hittat ett nytt sätt att sprida skadlig programvara och infektera intet ont anande offer - genom att använda en Dark Net-plattform som heter "Zombinder". Denna plattform tillåter hotaktörer att binda en skadad kod till legitima Android-applikationer, vilket gör att de kan distribueras på ett oupptäckbart sätt.

Attackkampanjerna upptäcktes av cybersäkerhetsforskare. Enligt deras upptäckter har den hotfulla operationen lyckats påverka tusentals offer. Faktum är att bara Erbium Stealer- hotet som användes som en del av attacken har lyckats infektera 1 300 enheter.

Infektionsvektorer och levererad skadlig programvara

De cyberbrottslingar har skapat en webbplats som ser legitimt ut som ett lockande för att lura användare att ladda ner skadlig programvara. Den skadade webbplatsen ska förse användare med en applikation för Wi-Fi-auktorisering. Besökare har två val, beroende på vilken plattform de föredrar. De kan klicka på antingen "Ladda ner för Windows" eller "Ladda ner för Android"-knapparna. I båda fallen kommer det nedladdade programmet att bära den skadade koden, men de utplacerade hoten skiljer sig beroende på användarens system.

Om webbplatsbesökarna klickar på knappen "Ladda ner för Windows" kan de få sina datorer infekterade av Erbium Stealer, Laplas Clipper eller Aurora Info-stealer. Dessa delar av skadlig programvara är sofistikerade verktyg som används av cyberbrottslingar för att samla in personlig information, såsom lösenord, kreditkortsnummer och bankuppgifter. Hotaktörerna som använder dessa stammar köper vanligtvis tillgång till dem från de ursprungliga utvecklarna för några hundra dollar per månad. Väl inne i en dator kan dessa hot orsaka betydande skada.

Å andra sidan leder knappen "Ladda ner för Android" till ett urval av Ermac Banking Trojan , klassificerad av infosec-forskarna som Ermac.C. Den här hotfulla varianten har många skadliga funktioner, inklusive möjligheten att lägga över applikationer för stöld av personlig information, nyckelloggning, samla in e-postmeddelanden från Gmail-applikationer, avlyssna tvåfaktorsautentiseringskoder och samla in fraser från flera kryptovaluta-plånböcker.

Zombinder-plattformen beväpnar legitima applikationer

Android-grenen av den hotfulla kampanjen använde en Dark Net-tjänst som heter "Zombinder". Plattformen kan koppla komprometterade APK-filer till annars legitima Android-applikationer. Enligt experterna lanserades Zombinder först i mars 2022 och har sedan dess börjat få draghjälp bland cyberkriminella. Bland de applikationer som distribuerades som en del av verksamheten fanns modifierade versioner av en applikation för livestreaming av fotboll, applikationen Instagram, etc.

Genom att använda Zombinder kan angripare bevara den ursprungliga funktionaliteten för de valda programmen, vilket gör att de verkar mycket mindre misstänksamma för offren. Zombinder uppnår detta resultat genom att injicera en fördunklad skadlig programvara loader/dropper i applikationerna. Efter installationen kommer programmet att fungera som förväntat, tills en prompt som hävdar att applikationen behöver uppdateras visas. Om användaren accepterar kommer den annars legitima applikationen att hämta och ladda ner Ermac-hotet till enheten.