Zombinder マルウェア プラットフォーム

悪意のある攻撃者は、「Zombinder」という名前のダーク ネット プラットフォームを使用して、マルウェアを拡散し、無防備な被害者に感染させる新しい方法を発見しました。このプラットフォームにより、攻撃者は破損したコードを正当な Android アプリケーションにバインドし、検出できない方法で配布できるようになります。

攻撃キャンペーンは、サイバーセキュリティ研究者によって発見されました。彼らの調査結果によると、脅迫作戦は何千人もの犠牲者に影響を与えました。実際、攻撃の一部として展開されたErbium Stealerの脅威だけで、1,300 台のデバイスに感染することができました。

感染ベクターと配信されたマルウェア

サイバー犯罪者は、ユーザーをだましてマルウェアをダウンロードさせるためのルアーとして、合法的に見える Web サイトを作成しました。破損したサイトは、ユーザーに Wi-Fi 認証用のアプリケーションを提供していると思われます。訪問者には、好みのプラットフォームに応じて 2 つの選択肢が提供されます。 [Windows 用のダウンロード] または [Android 用のダウンロード] ボタンをクリックできます。どちらの場合も、ダウンロードしたアプリケーションには破損したコードが含まれていますが、展開される脅威はユーザーのシステムによって異なります。

Web サイトの訪問者が [Windows 用のダウンロード] ボタンをクリックすると、コンピュータが Erbium Stealer、 Laplas Clipper 、またはAurora Info-stealer に感染している可能性があります。これらのマルウェアは、サイバー犯罪者がパスワード、クレジット カード番号、銀行口座情報などの個人情報を収集するために使用する高度なツールです。これらの株を使用する攻撃者は、通常、元の開発者から月額数百ドルでそれらへのアクセスを購入します。これらの脅威がコンピュータに侵入すると、重大な損害を引き起こす可能性があります。

一方、「Android 用のダウンロード」ボタンをクリックすると、情報セキュリティの研究者によって Ermac.C として分類されたErmac Banking Trojanのサンプルが表示されます。この脅威的な亜種には、個人情報を盗むためのアプリケーションのオーバーレイ、キーロギング、Gmail アプリケーションからの電子メールの収集、2 要素認証コードの傍受、いくつかの暗号通貨ウォレットからのシード フレーズの収集など、多くの有害な機能があります。

Zombinder プラットフォームが正当なアプリケーションを武器化

脅迫キャンペーンの Android ブランチは、「Zombinder」という名前のダーク ネット サービスを利用していました。このプラットフォームは、侵害された APK を正規の Android アプリケーションに添付することができます。専門家によると、Zombinder は 2022 年 3 月に最初にリリースされ、それ以来、サイバー犯罪者の間で注目を集め始めています。運用の一環として配信されたアプリの中には、サッカーのライブ配信アプリやインスタグラムアプリなどの改変版が含まれていました。

Zombinder を使用すると、攻撃者は選択したアプリケーションの元の機能を保持できるため、被害者にとって疑わしいと思われることがはるかに少なくなります。 Zombinder は、難読化されたマルウェア ローダー/ドロッパーをアプリケーションに挿入することで、この結果を達成します。インストール後、アプリケーションを更新する必要があることを示すプロンプトが表示されるまで、プログラムは期待どおりに機能します。ユーザーが受け入れると、正当に見えるアプリケーションが Ermac の脅威を取得してデバイスにダウンロードします。