Μια νέα πλατφόρμα darknet με το όνομα “Zombinder” επιτρέπει στους εγκληματίες του κυβερνοχώρου να επισυνάπτουν malware σε νόμιμες εφαρμογές (Android). Κατά συνέπεια, τα θύματα μολύνονται, ενώ η εφαρμογή διατηρεί τα αρχικά χαρακτηριστικά και τη λειτουργικότητά της, επιτρέποντας στην κακόβουλη δραστηριότητα να περάσει απαρατήρητη.
Αυτή η νέα πλατφόρμα ανακαλύφθηκε από την εταιρεία κυβερνοασφάλειας ThreatFabric, η οποία εντόπισε κακόβουλες καμπάνιες που διανέμουν malware σε συσκευές Windows και Android.
Η καμπάνια υποδύεται Wi-Fi authorization portals για να βοηθήσει υποτίθεται τους χρήστες να έχουν πρόσβαση σε σημεία Διαδικτύου. Στη συνέχεια, ο ιστότοπος ζητά από το χρήστη να πραγματοποιήσει λήψη μιας Windows ή Android έκδοσης της εφαρμογής, η οποία στην πραγματικότητα είναι malware.
Δείτε επίσης: Η ομάδα Agrius χρησιμοποιεί το Fantasy data wiper σε επιθέσεις supply chain
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/439037/zombinder-nea-ipiresia-eisagei-malware-se-nomimes-efarmoges/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/https://www.secnews.gr/wp-content/uploads/2022/11/malware-min-2.jpg&description=Μια πλατφόρμα darknet με το όνομα "Zombinder" επιτρέπει στους εγκληματίες του κυβερνοχώρου να επισυνάπτουν malware σε νόμιμες Android){kind=link}
Η ThreatFabric αναφέρει στην έκθεσή της ότι η κακόβουλη καμπάνια έχει ήδη χιλιάδες θύματα, με τις μολύνσεις από το Erbium stealer malware να έχουν οδηγήσει στην κλοπή δεδομένων από 1.300 διαφορετικούς υπολογιστές.
Zombinder for Android
Μια ενδιαφέρουσα πτυχή της καμπάνιας είναι η υπηρεσία darknet, την οποία οι ερευνητές ονόμασαν “Zombinder”. Αυτή η υπηρεσία βοηθά στην ενσωμάτωση malware σε νόμιμες εφαρμογές Android.
Η υπηρεσία Zombinder ξεκίνησε τον Μάρτιο του 2022 ως malware packer σε αρχεία APK σύμφωνα με την ThreatFabric. Πλέον έχει γίνει πολύ δημοφιλής στην κοινότητα του κυβερνοεγκλήματος.
Σε αυτή την εκστρατεία, τα APK ποικίλλουν- οι αναλυτές έχουν δει μια ψεύτικη εφαρμογή για football streaming και μια τροποποιημένη έκδοση της εφαρμογής Instagram.
Αυτές οι εφαρμογές λειτουργούν όπως αναμένεται, επειδή η λειτουργικότητα του νόμιμου λογισμικού δεν επηρεάζεται και δεν αφαιρείται. Η υπηρεσία Zombinder προσθέτει στον κώδικα ένα πρόγραμμα φόρτωσης (loader) κακόβουλου λογισμικού.
Το loader έχει σχεδιαστεί έτσι ώστε για να αποφεύγει τον εντοπισμό. Έτσι, όταν ο χρήστης ανοίξει την εφαρμογή, το loader θα εμφανίσει ένα αίτημα για την εγκατάσταση ενός plugin. Εάν γίνει αποδεκτό, το loader θα εγκαταστήσει το κακόβουλο λογισμικό και θα το ενεργοποιήσει εν αγνοία του χρήστη.
Ο πάροχος της υπηρεσίας Zombinder ισχυρίζεται ότι τα πακέτα κακόβουλων εφαρμογών που δημιουργούνται με αυτό, δεν μπορούν να ανιχνευθούν στο χρόνο εκτέλεσης και μπορούν να παρακάμψουν ειδοποιήσεις Google Protect ή AV που εκτελούνται στις συσκευές-στόχους.
Δείτε επίσης: Πώς λειτουργεί το νέο Zerobot malware;
Οι Android εφαρμογές μολύνονται με το Ermac payload που μπορεί να καταγράφει πληκτρολογήσεις (keylogging), να πραγματοποιεί overlay attacks και να κλέβει emails από το Gmail, κωδικούς 2FA και seed phrases για crypto wallets.
Zombinder: Windows malware
Όπως είπαμε και παραπάνω, η καμπάνια υποδύεται Wi-Fi authorization portals. Εάν ο επισκέπτης του ιστότοπου εξουσιοδότησης Wi-Fi κάνει κλικ στο κουμπί “Λήψη για Windows“, κατεβάζει κακόβουλο λογισμικό για Windows.
Μερικά από τα malware που είδε η ThreatFabric, περιλαμβάνουν το Erbium stealer, το Laplas clipper και το Aurora info-stealer.
Πρόκειται για επικίνδυνα malware που βρίσκονται υπό ενεργή ανάπτυξη, τα οποία ενοικιάζονται σε εγκληματίες του κυβερνοχώρου.
Η ThreatFabric λέει ότι η μεγάλη ποικιλία trojans που παραδίδονται από τις ίδιες κακόβουλες σελίδες μπορεί να υποδηλώνει ότι μια ενιαία υπηρεσία διανομής κακόβουλου λογισμικού τρίτων εξυπηρετεί πολλούς παράγοντες απειλών.
Δείτε επίσης: Γιατί οι διακοπές είναι η καλύτερη περίοδος για τους απατεώνες;
Το σύγχρονο τοπίο απειλών γίνεται όλο και πιο περίπλοκο, με τους επιτιθέμενους να συνδυάζουν πολλαπλές προσεγγίσεις στην ανάπτυξη, διανομή και λειτουργία των malware. Τα νέα εργαλεία εμποδίζουν την ανίχνευση, γεγονός που οδηγεί σε πιο επιτυχημένες επιθέσεις. Επιπλέον, στοχεύοντας πολλαπλές πλατφόρμες, οι φορείς μπορούν να προσεγγίσουν ευρύτερο “κοινό” και να κλέψουν περισσότερα δεδομένα για να τα χρησιμοποιήσουν σε περαιτέρω απάτη.
Οι μολύνσεις με malware έχουν γίνει όλο και πιο συχνές τα τελευταία χρόνια, αλλά υπάρχουν μέτρα που μπορείτε να λάβετε για να προστατευτείτε από αυτές τις απειλές. Η ενημέρωση συστημάτων και εφαρμογών, η εγκατάσταση λογισμικού προστασίας από ιούς και η δημιουργία αντιγράφων ασφαλείας των δεδομένων αποτελούν βασικά στοιχεία μιας αποτελεσματικής στρατηγικής προστασίας από κακόβουλο λογισμικό.
Περισσότερες λεπτομέρειες για την νέα εκστρατεία διανομής Android και Windows malware μέσω της υπηρεσίας Zombinder, μπορείτε να βρείτε στην έκθεση της ThreatFabric.
Πηγή: www.bleepingcomputer.com