Plate-forme de logiciels malveillants Zombinder

Des pirates malveillants ont trouvé un nouveau moyen de propager des logiciels malveillants et d'infecter des victimes sans méfiance - grâce à l'utilisation d'une plate-forme Dark Net nommée "Zombinder". Cette plate-forme permet aux pirates de lier un code corrompu à des applications Android légitimes, leur permettant d'être distribuées de manière indétectable.

Les campagnes d'attaques ont été découvertes par des chercheurs en cybersécurité. Selon leurs conclusions, l'opération menaçante a réussi à faire des milliers de victimes. En fait, seule la menace Erbium Stealer déployée dans le cadre de l'attaque a réussi à infecter 1 300 appareils.

Vecteurs d'infection et logiciels malveillants livrés

Les cybercriminels ont créé un site Web d'apparence légitime pour inciter les utilisateurs à télécharger des logiciels malveillants. Le site corrompu fournit soi-disant aux utilisateurs une application d'autorisation Wi-Fi. Les visiteurs ont deux choix, en fonction de leur plate-forme préférée. Ils peuvent cliquer sur les boutons "Télécharger pour Windows" ou "Télécharger pour Android". Dans les deux cas, l'application téléchargée contiendra le code corrompu, mais les menaces déployées diffèrent en fonction du système de l'utilisateur.

Si les visiteurs du site Web cliquent sur le bouton "Télécharger pour Windows", leurs ordinateurs peuvent être infectés par Erbium Stealer, Laplas Clipper ou Aurora Info-stealer. Ces logiciels malveillants sont des outils sophistiqués utilisés par les cybercriminels pour collecter des informations personnelles, telles que des mots de passe, des numéros de carte de crédit et des coordonnées bancaires. Les acteurs de la menace utilisant ces souches achètent généralement l'accès à celles-ci auprès des développeurs d'origine pour quelques centaines de dollars américains par mois. Une fois à l'intérieur d'un ordinateur, ces menaces peuvent causer des dommages importants.

D'autre part, le bouton "Télécharger pour Android" mène à un échantillon du cheval de Troie bancaire Ermac , classé par les chercheurs d'infosec comme Ermac.C. Cette variante menaçante a de nombreuses fonctions nuisibles, notamment la possibilité de superposer des applications pour le vol d'informations personnelles, l'enregistrement de frappe, la collecte d'e-mails à partir d'applications Gmail, l'interception de codes d'authentification à deux facteurs et la collecte de phrases de départ à partir de plusieurs portefeuilles de crypto-monnaie.

La plate-forme Zombinder arme les applications légitimes

La branche Android de la campagne menaçante a utilisé un service Dark Net nommé "Zombinder". La plate-forme est capable de joindre des fichiers APK compromis à des applications Android par ailleurs légitimes. Selon les experts, Zombinder a été lancé pour la première fois en mars 2022 et, depuis lors, a commencé à gagner du terrain parmi les cybercriminels. Parmi les applications distribuées dans le cadre de l'opération, figuraient des versions modifiées d'une application de live-streaming football, l'application Instagram, etc.

L'utilisation de Zombinder permet aux attaquants de préserver les fonctionnalités d'origine des applications choisies, les rendant beaucoup moins suspectes pour les victimes. Zombinder atteint ce résultat en injectant un chargeur/dropper de logiciels malveillants obscurci dans les applications. Après l'installation, le programme fonctionnera comme prévu, jusqu'à ce qu'une invite indiquant que l'application doit être mise à jour s'affiche. Si l'utilisateur accepte, l'application d'apparence légitime récupérera et téléchargera la menace Ermac sur l'appareil.