Nền tảng phần mềm độc hại Zombinder

Những kẻ đe dọa thiếu suy nghĩ đã tìm ra một cách mới để phát tán phần mềm độc hại và lây nhiễm cho những nạn nhân nhẹ dạ - thông qua việc sử dụng nền tảng Dark Net có tên 'Zombinder'. Nền tảng này cho phép các tác nhân đe dọa liên kết mã bị hỏng với các ứng dụng Android hợp pháp, cho phép chúng được phân phối theo cách không thể phát hiện được.

Các chiến dịch tấn công đã được phát hiện bởi các nhà nghiên cứu an ninh mạng. Theo những phát hiện của họ, hoạt động đe dọa đã tác động đến hàng nghìn nạn nhân. Trên thực tế, chỉ riêng mối đe dọa Erbium Stealer được triển khai như một phần của cuộc tấn công đã lây nhiễm được 1.300 thiết bị.

Vectơ lây nhiễm và phần mềm độc hại được gửi

Tội phạm mạng đã tạo một trang web trông có vẻ hợp pháp để dụ người dùng tải xuống phần mềm độc hại. Trang web bị hỏng được cho là cung cấp cho người dùng một ứng dụng cấp phép Wi-Fi. Khách truy cập được cung cấp hai lựa chọn, tùy thuộc vào nền tảng ưa thích của họ. Họ có thể nhấp vào nút 'Tải xuống cho Windows' hoặc nút 'Tải xuống cho Android'. Trong cả hai trường hợp, ứng dụng đã tải xuống sẽ mang mã bị hỏng, nhưng các mối đe dọa được triển khai sẽ khác nhau tùy theo hệ thống của người dùng.

Nếu khách truy cập trang web nhấp vào nút 'Tải xuống cho Windows', thì máy tính của họ có thể bị nhiễm Erbium Stealer, Laplas Clipper hoặc Aurora Info-stealer. Những phần mềm độc hại này là những công cụ tinh vi được tội phạm mạng sử dụng để thu thập thông tin cá nhân, chẳng hạn như mật khẩu, số thẻ tín dụng và chi tiết ngân hàng. Các tác nhân đe dọa sử dụng các chủng này thường mua quyền truy cập vào chúng từ các nhà phát triển ban đầu với giá vài trăm đô la Mỹ mỗi tháng. Khi ở bên trong máy tính, những mối đe dọa này có thể gây ra thiệt hại đáng kể.

Mặt khác, nút 'Tải xuống dành cho Android' dẫn đến một ví dụ về Ermac Banking Trojan , được các nhà nghiên cứu của infosec phân loại là Ermac.C. Biến thể đe dọa này có nhiều chức năng có hại, bao gồm khả năng che phủ các ứng dụng để đánh cắp thông tin cá nhân, ghi bàn phím, thu thập email từ các ứng dụng Gmail, chặn mã xác thực hai yếu tố và thu thập các cụm từ gốc từ một số ví tiền điện tử.

Nền tảng Zombinder vũ khí hóa các ứng dụng hợp pháp

Nhánh Android của chiến dịch đe dọa đã sử dụng dịch vụ Dark Net có tên 'Zombinder'. Nền tảng này có khả năng đính kèm các APK bị xâm nhập vào các ứng dụng Android hợp pháp khác. Theo các chuyên gia, Zombinder được ra mắt lần đầu tiên vào tháng 3 năm 2022 và kể từ đó, đã bắt đầu thu hút được sự chú ý của tội phạm mạng. Trong số các ứng dụng được phân phối như một phần của hoạt động, có các phiên bản sửa đổi của ứng dụng phát trực tiếp bóng đá, ứng dụng Instagram, v.v.

Việc sử dụng Zombinder cho phép kẻ tấn công bảo toàn chức năng ban đầu của các ứng dụng đã chọn, khiến chúng ít gây nghi ngờ hơn đối với nạn nhân. Zombinder đạt được kết quả này bằng cách đưa trình tải/trình nhỏ giọt phần mềm độc hại bị xáo trộn vào các ứng dụng. Sau khi cài đặt, chương trình sẽ hoạt động như mong đợi cho đến khi xuất hiện lời nhắc thông báo rằng ứng dụng cần được cập nhật. Nếu người dùng chấp nhận, ứng dụng có giao diện hợp pháp khác sẽ tìm nạp và tải mối đe dọa Ermac về thiết bị.