Malware wykryty w Microsoft Store

Przeczytaj także: Mniej ataków hakerskich na polskie firmy. Nanocore zdetronizował Emotet

Check Point Research podaje, że złośliwe oprogramowanie o nazwie Electron-bot potrafi przede wszystkim kontrolować konta ofiar w mediach społecznościowych. Do tej pory ofiarami malware’u padło 5000 użytkowników z 20 krajów. Większość ofiar pochodzi ze Szwecji, Bermudów, Izraela oraz Hiszpanii.

W sklepie Microsoftu miały znajdować się dziesiątki zainfekowanych aplikacji, w tym popularne gry takie jak „Temple Run” czy „Subway Surfer”, pochodzących od sześciu wydawców. Zaszyte w nich złośliwe oprogramowanie Electron-bot zdolne było przede wszystkim do kontrolowania kont społecznościowych Facebook, Google oraz Sound Cloud. Wśród możliwości malware’u analitycy Check Pointa wymieniają m.in.:

• zatruwanie SEO, czyli metodę, w ramach której cyberprzestępcy tworzą złośliwe strony internetowe i wykorzystują taktyki optymalizacji w wyszukiwarkach, aby wyświetlać je w widocznym miejscu w wynikach wyszukiwania;
• ad clicking, czyli generowanie kliknięć reklam,
• promowanie kont w mediach społecznościowych
• promowanie produktów online, aby np. generować zyski z reklam.

Co więcej, ponieważ ładunek Electron-bota jest dynamicznie ładowany, osoby atakujące mogą wykorzystać zainstalowane złośliwe oprogramowanie jako tylne drzwi w celu uzyskania pełnej kontroli nad komputerami ofiar.

Nasze badanie przeanalizowało nowe złośliwe oprogramowanie o nazwie Electron-Bot, które zaatakowało ponad 5000 ofiar na całym świecie. Electron-Bot łatwo rozprzestrzenia się za pośrednictwem oficjalnej platformy sklepu Microsoft. Struktura Electron zapewnia aplikacjom dostęp do wszystkich zasobów komputera, w tym przetwarzania GPU. Ponieważ ładunek bota jest ładowany dynamicznie w czasie wykonywania, osoby atakujące mogą modyfikować kod i zmieniać zachowanie botów na profil wysokiego ryzyka. Mogą na przykład zainicjować kolejny drugi etap i pobierać nowe złośliwe oprogramowanie, takie jak oprogramowanie ransomware lub RAT. Wszystko to może się zdarzyć bez wiedzy ofiary. Niestety, większość ludzi uważa, że można zaufać recenzjom sklepów z aplikacjami i nie wahają się pobrać stamtąd aplikacji. Ryzyko jednak istnieje, ponieważ nigdy nie wiadomo, jakie złośliwe elementy można pobierać. - wyjaśnia Daniel Alima, analityk złośliwego oprogramowania w Check Point Research.

Badacze Check Pointa odkryli poszlaki świadczące, że szkodliwe oprogramowanie może pochodzić z Bułgarii. Wszystkie warianty w latach 2019–2022 zostały przesłane do bułgarskiej chmury publicznej „mediafire.com”, promowane konto Sound Cloud oraz kanał YouTube noszą nazwę „Ivaylo Yordanov” (to popularny bułgarski zapaśnik/piłkarz), natomiast Bułgaria krajem w kodzie źródłowym.

Check Point Research zaznacza, że zgłosiło firmie Microsoft wszystkich wydawców gier powiązanych z kampanią.

Kampania złośliwego oprogramowania działa w następujących krokach:

1. Atak rozpoczyna się od instalacji aplikacji sklepu Microsoft udającej legalną
2. Po instalacji atakujący pobiera pliki i uruchamia skrypty
3. Pobrane złośliwe oprogramowanie utrwala się na komputerze ofiary, wielokrotnie wykonując różne polecenia wysyłane z C&C atakującego

Aby uniknąć wykrycia, większość skryptów kontrolujących szkodliwe oprogramowanie jest ładowana dynamicznie w czasie wykonywania z serwerów atakujących. Umożliwia to atakującym modyfikowanie ładunku złośliwego oprogramowania i zmianę zachowania botów w dowolnym momencie. Złośliwe oprogramowanie wykorzystuje platformę Electron, aby naśladować ludzkie zachowanie podczas przeglądania i omijać zabezpieczenia witryny.