Ένα malware με το όνομα Electron Bot κατάφερε να διεισδύσει στο Microsoft Store δημιουργώντας κλώνους δημοφιλών παιχνιδιών όπως το Subway Surfer και το Temple Run. Το αποτέλεσμα ήταν να μολυνθούν περίπου 5.000 υπολογιστές στη Σουηδία, το Ισραήλ, την Ισπανία και τις Βερμούδες.
Το κακόβουλο λογισμικό εντοπίστηκε και αναλύθηκε από ερευνητές της Check Point και είναι στην πραγματικότητα ένα backdoor που δίνει στους επιτιθέμενους τον πλήρη έλεγχο των παραβιασμένων μηχανημάτων. Επιτρέπει την απομακρυσμένη εκτέλεση εντολών και αλληλεπιδράσεις σε πραγματικό χρόνο.
Δείτε επίσης: MuddyWatter: Οι Ιρανοί hackers χρησιμοποιούν νέα malware και στοχεύουν κρίσιμες υποδομές
Το Electron Bot δίνει τη δυνατότητα στους επιτιθέμενους να πάρουν τον έλεγχο λογαριασμών κοινωνικών μέσων (π.χ. Facebook, Google, YouTube και Sound Cloud), καθώς το malware υποστηρίζει την εγγραφή νέων λογαριασμών, τα σχόλια και τα like σε αυτές τις πλατφόρμες.
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Τρία χρόνια εξέλιξης
Η hacking εκστρατεία ανακαλύφθηκε για πρώτη φορά στα τέλη του 2018, όταν μια πρώιμη παραλλαγή Electron Bot πέρασε στο Microsoft Store ως “Album by Google Photos“, που δημοσιεύτηκε από μια πλαστογραφημένη οντότητα, Google LLC.
Από τότε, οι δημιουργοί του κακόβουλου λογισμικού έχουν προσθέσει πολλά νέα χαρακτηριστικά και δυνατότητες αποφυγής εντοπισμού.
Το κακόβουλο λογισμικό μπορεί να μιμηθεί τη φυσιολογική συμπεριφορά περιήγησης και να εκτελέσει ενέργειες σαν να είναι πραγματικός επισκέπτης ιστότοπου.
Δείτε επίσης: Επιθέσεις ransomware: Ο εφιάλτης δε σταματά μετά την πληρωμή των λύτρων
Για αυτό, ανοίγει ένα νέο κρυφό παράθυρο του προγράμματος περιήγησης χρησιμοποιώντας το Chromium engine στο Electron framework, ορίζει τα κατάλληλα HTTP headers, κάνει rendering το ζητούμενο HTML page και, τέλος, εκτελεί κίνηση του ποντικιού, κάνει scrolling, κλικ και πληκτρολόγηση.
Σύμφωνα με τους ερευνητές της Check Point, πρωταρχικοί στόχοι του Electron Bot σε αυτή τη νέα καμπάνια είναι:
- SEO poisoning – Δημιουργία κακόβουλων sites που κατατάσσονται ψηλά στα αποτελέσματα αναζήτησης της Google.
- Κλικ σε διαφήμιση – Σύνδεση σε remote sites στο background και κλικ σε διαφημίσεις για οικονομικό κέρδος.
- Προώθηση λογαριασμών στα μέσα κοινωνικής δικτύωσης – Κατεύθυνση του traffic σε συγκεκριμένο περιεχόμενο σε πλατφόρμες μέσων κοινωνικής δικτύωσης.
- Διαδικτυακή προώθηση προϊόντων
Τα παραπάνω προσφέρονται ως υπηρεσίες σε όσους θέλουν να αυξήσουν παράνομα τα διαδικτυακά τους κέρδη, επομένως τα κέρδη για τους χειριστές του Electron Bot είναι έμμεσα.
Οι ερευνητές της Check Point αναφέρουν ότι πιθανότατα οι επιθέσεις σχετίζονται με hackers από τη Βουλγαρία αλλά τίποτα άλλο δεν είναι γνωστό για την ταυτότητά τους.
Πώς γίνεται η μόλυνση;
Η αλυσίδα μόλυνσης από το Electron Bot ξεκινά με το θύμα να εγκαθιστά μια από τις εφαρμογές-κλώνους μέσα από το Microsoft Store. Κατά το άνοιγμα της εφαρμογής, ένα JavaScript dropper φορτώνεται στο παρασκήνιο για να ανακτήσει το Electron Bot payload και να το εγκαταστήσει.
Το κακόβουλο λογισμικό αρχίζει να λειτουργεί κατά την επόμενη εκκίνηση του συστήματος, συνδέεται στο C2 (Electron Bot[.]s3[.]eu-central-1[.]amazonaws.com ή 11k[.]online), ανακτά τη διαμόρφωσή του και εκτελεί εντολές.
Σύμφωνα με τους ερευνητές, όλα τα παιχνίδια λειτουργούν κανονικά, ενώ οι κακόβουλες λειτουργίες εκτυλίσσονται στο παρασκήνιο.
Αυτό έχει ως αποτέλεσμα θετικές κριτικές χρηστών στο Microsoft Store. Για παράδειγμα, το Temple Endless Runner 2, το οποίο δημοσιεύτηκε στις 6 Σεπτεμβρίου 2021, έχει σχεδόν μια τέλεια βαθμολογία πέντε αστέρων από 92 άτομα.
Δείτε επίσης: Η Ασία το 2021 δεχόταν μία στις τέσσερις κυβερνοεπιθέσεις που γίνονταν παγκόσμια
Φυσικά, οι απατεώνες χρησιμοποιούν συνεχώς διαφορετικούς τίτλους παιχνιδιών και εφαρμογές για να παραδώσουν τα κακόβουλα payloads σε ανυποψίαστα θύματα.
Όπως φαίνεται από τα παραπάνω, η υπάρχουσα έκδοση του Electron Bot δεν προκαλεί καταστροφική ζημιά στα μολυσμένα Windows μηχανήματα, αλλά οι φορείς απειλών μπορούν εύκολα να τροποποιήσουν τον κώδικα για να εγκαταστήσουν ένα payload δεύτερου σταδίου, όπως ένα RAT ή ακόμα και ransomware.
Η Check Point προτείνει στους χρήστες των Windows να είναι προσεκτικοί κατά τη λήψη εφαρμογών ακόμα και από επίσημες πηγές, όπως το Microsoft Store. Θα πρέπει να αποφεύγουν τη λήψη εφαρμογών με χαμηλό αριθμό κριτικών, να ελέγχουν προσεκτικά τα στοιχεία του προγραμματιστή/εκδότη και να διασφαλίζουν ότι το όνομα της εφαρμογής είναι σωστό (τυπογραφικά).
Πηγή: Bleeping Computer