Check Point Research (HLR) rapporter om en ny type skadelig programvare distribuert via Microsofts offisielle butikk. Den nye trusselen er i stand til å ta kontroll over sosiale mediekontoer på SoundCloud, Google og Facebook.
Forskerne rapporterer at malware allerede har infisert over 5000 aktive enheter over hele verden. Det viser muligheten til å registrere nye kontoer, Logg Inn, komme med kommentarer og til og med “Som” andre innlegg. Trusselaktører brukte slike populære spill som "Subway Surfer" og "Temple Run" for å spre skadelig programvare.
Deretter kan de bruke den som en bakdør for å få full kontroll på offerets maskin. De fleste ofrene som ble målrettet av Electron Bot var fra Sverige, Bermuda, Spania, Bulgaria og Russland.
Hva er Electron Bot malware?
HLR har allerede rapportert til Microsoft den funnet skadelige programvaren og alle oppdagede spillutgivere som står bak kampanjen. Navnet på skadevareforskerne fra HLR basert på siste kampanjes C&CdomainElectron-Bot[.]s3[.]i-sentral-1[.]amazonaws.com. Skadevaren som er en modulær SEO ble brukt til klikksvindel og markedsføring på sosiale medier.
Angriperne begynte sin ondsinnede aktivitet som en annonseklikkkampanje på slutten av 2018. På den tiden gjemte skadelig programvare seg bak en app kalt "Album by Google Photos" i Microsoft Store utgir seg for å være det legitime produktet fra Google LLC. I løpet av årene mottok skadelig programvare betydelige oppdateringer som nye funksjoner og teknikker. I disse dager distribuerer trusselaktører det hovedsakelig via Microsoft butikkplattform, faller fra dusinvis av infiserte applikasjoner ( som i de fleste tilfeller er spill). De glemmer heller ikke å laste den opp regelmessig.
Skadevaren bruker Electron-rammeverket som imiterer menneskelig nettleseratferd og unngår beskyttelse av nettstedet. Electron er et rammeverk designet for å bygge skrivebordsapplikasjoner på tvers av plattformer som bruker webskript. Den kombinerer Node.js runtime og Chromium-gjengivelsesmotor som lar seg ha mulighetene til en nettleser som styres av skript, for eksempel JavaScript.
Elektronbot-funksjoner
For å unngå oppdagelsestrussel laster aktører skadevaren dynamisk under kjøretid fra serverne sine. Slike handlinger lar dem endre robotenes oppførsel og modifisere skadelig programvares nyttelast når som helst. Forskere beskrev de neste hovedfunksjonene til Electron Bot:
- Den promoterer nettprodukter som genererer fortjeneste ved å klikke på annonser eller med økning av butikkvurderingen for høyere salg;
- Den fremmer kontoer på sosiale medier, for eksempel SoundCloud og YouTube, lede trafikk til spesifikt innhold og øke visninger og annonseklikk for å generere fortjeneste;
- Det er også en annonseklikker, et datavirus som vil kjøre i bakgrunnen konstant koble til eksterne nettsteder og dermed generere klikk for annonser. Trusselaktører vil motta sin fortjeneste basert på hvor mange ganger annonsen ble klikket;
- SEO-forgiftning, ondsinnet metode der trusselaktører som bruker søkemotoroptimaliseringstaktikker oppretter ondsinnede nettsteder som vil vises spesifikt først i søkeresultatene. Trusselaktører bruker også denne metoden når det gjelder tjenester for å fremme rangering av andre nettsteder.
Hvordan infiserer Electron Bot ofrene sine?
Forskere beskriver infeksjonskjeden for skadevaren som vanlig for en slik type. Det starter med installasjonen av en infisert applikasjon som brukeren laster ned fra Microsoft Store.
Når brukeren starter spillet, en JavaScript-dropper laster dynamisk i bakgrunnen fra angriperens server. Etter det utføres flere handlinger, blant annet nedlasting og installering av skadelig programvare og utholdenhet på oppstartsmappen.
Når det gjelder skadelig programvare ved neste systemoppstart, starter den. Skadevaren etablerer også forbindelse med C&C og mottar deretter en dynamisk JavaScript-nyttelast med et sett med kapasitetsfunksjoner. Helt på slutten av den ondsinnede prosessen konfigurerer C&C sender konfigurasjonsfilen som inneholder kommandoer som skal utføres.
Hvordan unngå malware-infeksjon?
Forskerne bemerker at foreløpig deltar ikke skadelig programvare i noen høyrisikoaktiviteter på infiserte maskiner, men det ville være lurt å vite hvordan man unngår infeksjonen i det hele tatt. Electron Bot kan også tjene for trusselaktører som en dropper for RAT eller til og med ransomware. I tillegg bruker den alle datamaskinressursene, inkludert GPU-databehandling.
Det er en vanlig ting for brukere å tro på sikkerheten til appene med minst et antall anmeldelser. Men en som leter etter en app kan faktisk overse viktigheten. Vi vil gjenta dette en gang til: det er ikke nok at en app anses som legitim og klarert bare fordi den har et visst antall anmeldelser.
Du må se etter forskjeller i disse anmeldelsene. I utgangspunktet bør de leses som de som er skrevet av ekte mennesker. Det er kanskje ikke en vanskelig oppgave å gjøre å se om en bruker setter seg i en ekte brukers sko.
Bare tenk på din hypotetiske anmeldelse av appen du har jobbet med i lang tid. Uansett hva du tenker på kan være et eksempel på en normal anmeldelse av en ekte person.
I slutten av sin nye trusselgjennomgangsartikkel la forskere fra CPR til noen sikkerhetstips om hvordan man unngår å bli infisert med slike og lignende typer skadelig programvare. Og de vil være følgende:
- Før du bestemmer deg for å laste ned en ønsket app, se nøye etter navnene på den. Leser det det samme som du vet at det opprinnelige navnet på denne appen er?
- Det er bedre å ikke laste ned en app med et relativt lite antall anmeldelser. Et noe 100 anmeldelser eller mindre for en app som en messenger burde på en eller annen måte varsle deg;
- Den generelle regelen er at vurderingene skal være konsekvente, god og pålitelig.
I tillegg til disse tipsene kan du også sjekke utgiveren av appen og se etter litt informasjon om den på internett. Hvis det er noe lyssky vil du mest sannsynlig få det forventede resultatet.
