Zombinder Kötü Amaçlı Yazılım Platformu

Kötü niyetli tehdit aktörleri, 'Zombinder' adlı Dark Net platformunu kullanarak kötü amaçlı yazılım yaymanın ve masum kurbanları bulaştırmanın yeni bir yolunu buldu. Bu platform, tehdit aktörlerinin bozuk bir kodu yasal Android uygulamalarına bağlamasına ve bunların tespit edilemez bir şekilde dağıtılmasına olanak tanır.

Saldırı kampanyaları siber güvenlik araştırmacıları tarafından keşfedildi. Bulgularına göre, tehdit edici operasyon binlerce kurbanı etkilemeyi başardı. Aslında, yalnızca saldırının bir parçası olarak konuşlandırılan Erbium Stealer tehdidi 1.300 cihaza bulaşmayı başardı.

Enfeksiyon Vektörleri ve Dağıtılan Kötü Amaçlı Yazılım

Siber suçlular, kullanıcıları kötü amaçlı yazılım indirmeleri için kandırmak amacıyla yasal görünen bir web sitesi oluşturdu. Bozuk site, sözde kullanıcılara Wi-Fi yetkilendirmesi için bir uygulama sağlıyor. Ziyaretçilere tercih ettikleri platforma bağlı olarak iki seçenek sunulur. "Windows için İndir" veya "Android için İndir" düğmelerine tıklayabilirler. Her iki durumda da, indirilen uygulama bozuk kodu taşır, ancak konuşlandırılan tehditler kullanıcının sistemine göre farklılık gösterir.

Web sitesi ziyaretçileri 'Windows için İndir' düğmesini tıklarsa, bilgisayarlarına Erbium Stealer, Laplas Clipper veya Aurora Info-stealer bulaşmış olabilir. Bu kötü amaçlı yazılım parçaları, siber suçlular tarafından parolalar, kredi kartı numaraları ve banka bilgileri gibi kişisel bilgileri toplamak için kullanılan gelişmiş araçlardır. Bu suşları kullanan tehdit aktörleri, genellikle orijinal geliştiricilerden ayda birkaç yüz ABD doları karşılığında bunlara erişim satın alır. Bir bilgisayarın içine girdikten sonra, bu tehditler önemli hasara neden olabilir.

Öte yandan, 'Android için İndir' düğmesi, infosec araştırmacıları tarafından Ermac.C olarak sınıflandırılan Ermac Banking Trojan örneğine götürür. Bu tehdit edici varyant, kişisel bilgi hırsızlığı için uygulamaları üst üste bindirme, keylogging, Gmail uygulamalarından e-posta toplama, iki faktörlü kimlik doğrulama kodlarını yakalama ve çeşitli kripto para birimi cüzdanlarından tohum cümleleri toplama dahil olmak üzere birçok zararlı işleve sahiptir.

Zombinder Platformu Meşru Uygulamaları Silahlandırıyor

Tehdit kampanyasının Android şubesi, 'Zombinder' adlı bir Dark Net hizmetini kullandı. Platform, güvenliği ihlal edilmiş APK'ları başka türlü yasal olan Android uygulamalarına ekleme yeteneğine sahiptir. Uzmanlara göre Zombinder ilk olarak Mart 2022'de piyasaya sürüldü ve o zamandan beri siber suçlular arasında ilgi görmeye başladı. Operasyon kapsamında dağıtılan uygulamalar arasında bir futbol canlı yayın uygulaması, Instagram uygulaması vb.

Zombinder'ı kullanmak, saldırganların seçilen uygulamaların orijinal işlevlerini korumalarına olanak tanıyarak, bu uygulamaların kurbanlar için çok daha az şüpheli görünmesini sağlar. Zombinder, uygulamalara gizlenmiş bir kötü amaçlı yazılım yükleyici/damlalık enjekte ederek bu sonuca ulaşır. Kurulumdan sonra, uygulamanın güncellenmesi gerektiğini iddia eden bir istem görüntülenene kadar program beklendiği gibi çalışacaktır. Kullanıcı kabul ederse, yasal görünen uygulama Ermac tehdidini getirecek ve cihaza indirecektir.