แพลตฟอร์มมัลแวร์ Zombinder

นักคุกคามที่ไร้ความคิดได้ค้นพบวิธีใหม่ในการแพร่กระจายมัลแวร์และแพร่เชื้อไปยังเหยื่อที่ไม่สงสัย ผ่านทางการใช้แพลตฟอร์ม Dark Net ที่ชื่อว่า 'Zombinder' แพลตฟอร์มนี้ช่วยให้ผู้คุกคามสามารถผูกรหัสที่เสียหายเข้ากับแอปพลิเคชัน Android ที่ถูกต้อง ทำให้สามารถเผยแพร่ในลักษณะที่ตรวจไม่พบได้

แคมเปญการโจมตีถูกค้นพบโดยนักวิจัยด้านความปลอดภัยในโลกไซเบอร์ จากการค้นพบของพวกเขา ปฏิบัติการคุกคามได้ส่งผลกระทบต่อเหยื่อหลายพันคน ในความเป็นจริง ภัยคุกคาม Erbium Stealer ที่ถูกปรับใช้เป็นส่วนหนึ่งของการโจมตีสามารถจัดการกับอุปกรณ์ 1,300 เครื่องที่ติดไวรัส

เวกเตอร์การติดเชื้อและมัลแวร์ที่ส่งมา

อาชญากรไซเบอร์ได้สร้างเว็บไซต์ที่ดูถูกต้องตามกฎหมายเพื่อล่อหลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์ ไซต์ที่เสียหายน่าจะให้แอปพลิเคชันสำหรับการอนุญาต Wi-Fi แก่ผู้ใช้ ผู้เยี่ยมชมมีสองทางเลือกขึ้นอยู่กับแพลตฟอร์มที่ต้องการ พวกเขาสามารถคลิกที่ปุ่ม 'ดาวน์โหลดสำหรับ Windows' หรือ 'ดาวน์โหลดสำหรับ Android' ในทั้งสองกรณี แอปพลิเคชันที่ดาวน์โหลดจะมีรหัสที่เสียหาย แต่ภัยคุกคามที่ปรับใช้จะแตกต่างกันไปตามระบบของผู้ใช้

หากผู้เยี่ยมชมเว็บไซต์คลิกที่ปุ่ม 'ดาวน์โหลดสำหรับ Windows' คอมพิวเตอร์ของพวกเขาอาจติดไวรัส Erbium Stealer, Laplas Clipper หรือ Aurora Info-stealer มัลแวร์เหล่านี้เป็นเครื่องมือที่ซับซ้อนซึ่งอาชญากรไซเบอร์ใช้เพื่อรวบรวมข้อมูลส่วนบุคคล เช่น รหัสผ่าน หมายเลขบัตรเครดิต และรายละเอียดธนาคาร ผู้คุกคามที่ใช้สายพันธุ์เหล่านี้มักจะซื้อการเข้าถึงจากนักพัฒนาดั้งเดิมในราคาไม่กี่ร้อยดอลลาร์สหรัฐต่อเดือน เมื่อเข้าไปในคอมพิวเตอร์แล้ว ภัยคุกคามเหล่านี้อาจทำให้เกิดความเสียหายอย่างมาก

ในทางกลับกัน ปุ่ม 'ดาวน์โหลดสำหรับ Android' จะนำไปสู่ตัวอย่าง Ermac Banking Trojan ซึ่งจำแนกโดยนักวิจัยของ infosec เป็น Ermac.C ตัวแปรที่เป็นภัยคุกคามนี้มีฟังก์ชันที่เป็นอันตรายมากมาย รวมถึงความสามารถในการวางซ้อนแอปพลิเคชันเพื่อขโมยข้อมูลส่วนบุคคล การล็อกคีย์ การรวบรวมอีเมลจากแอปพลิเคชัน Gmail การสกัดกั้นรหัสการตรวจสอบสิทธิ์แบบสองปัจจัย และการรวบรวมวลีเริ่มต้นจากกระเป๋าเงินดิจิทัลหลายใบ

แพลตฟอร์ม Zombinder ทำให้แอปพลิเคชั่นถูกต้องตามกฎหมาย

สาขา Android ของแคมเปญคุกคามใช้บริการ Dark Net ชื่อ 'Zombinder' แพลตฟอร์มดังกล่าวมีความสามารถในการแนบ APK ที่ถูกบุกรุกเข้ากับแอปพลิเคชัน Android ที่ถูกต้องตามกฎหมาย ตามที่ผู้เชี่ยวชาญระบุว่า Zombinder เปิดตัวครั้งแรกในเดือนมีนาคม 2022 และตั้งแต่นั้นมาก็เริ่มได้รับความสนใจจากอาชญากรไซเบอร์ ในบรรดาแอปพลิเคชันที่แจกจ่ายเป็นส่วนหนึ่งของการดำเนินการ ได้แก่ แอปพลิเคชันถ่ายทอดสดฟุตบอล แอปพลิเคชัน Instagram เป็นต้น

การใช้ Zombinder ช่วยให้ผู้โจมตีสามารถรักษาฟังก์ชันการทำงานดั้งเดิมของแอปพลิเคชันที่เลือกไว้ ทำให้ผู้ที่ตกเป็นเหยื่อดูน่าสงสัยน้อยลง Zombinder บรรลุผลลัพธ์นี้โดยการฉีดตัวโหลด/ดรอปเปอร์มัลแวร์ที่สร้างความสับสนเข้าไปในแอปพลิเคชัน หลังการติดตั้ง โปรแกรมจะทำงานตามที่คาดไว้ จนกว่าจะมีข้อความแจ้งว่าจำเป็นต้องอัปเดตแอปพลิเคชันปรากฏขึ้น หากผู้ใช้ยอมรับ แอปพลิเคชันที่ดูถูกต้องตามกฎหมายจะดึงและดาวน์โหลดภัยคุกคาม Ermac ไปยังอุปกรณ์