Ukryte złośliwe oprogramowanie do tej pory regularnie wykrywane było przede wszystkim w sklepie Google Play. Okazuje się jednak, że aplikacje znajdujące się na platformie Microsoft Store również nie są wolne od zagrożeń. Eksperci bezpieczeństwa cybernetycznego z Check Point Research poinformowali właśnie o wykryciu malware’u, który w ostatnich miesiącach zainfekował ponad 5 tys. komputerów w dwudziestu krajach. Większość ofiar pochodzi ze Szwecji, Bermudów, Izraela oraz Hiszpanii.
Dziesiątki zainfekowanych aplikacji
W sklepie Microsoftu miały znajdować się dziesiątki zainfekowanych aplikacji, w tym popularne gry takie jak „Temple Run” czy „Subway Surfer”, pochodzących od sześciu wydawców. Zaszyte w nich złośliwe oprogramowanie Electron-bot zdolne było przede wszystkim do kontrolowania kont społecznościowych Facebook, Google oraz Sound Cloud.
Wśród możliwości malware’u analitycy Check Pointa wymieniają m.in.:
- zatruwanie SEO, czyli metodę, w ramach której cyberprzestępcy tworzą złośliwe strony internetowe i wykorzystują taktyki optymalizacji w wyszukiwarkach, aby wyświetlać je w widocznym miejscu w wynikach wyszukiwania;
- ad clicking, czyli generowanie kliknięć reklam,
- promowanie kont w mediach społecznościowych
- promowanie produktów online, aby np. generować zyski z reklam.
Co więcej, ponieważ ładunek Electron-bota jest dynamicznie ładowany, osoby atakujące mogą wykorzystać zainstalowane złośliwe oprogramowanie jako tylne drzwi w celu uzyskania pełnej kontroli nad komputerami ofiar.
Nasze badanie przeanalizowało nowe złośliwe oprogramowanie o nazwie Electron-Bot, które zaatakowało ponad 5000 ofiar na całym świecie. Electron-Bot łatwo rozprzestrzenia się za pośrednictwem oficjalnej platformy sklepu Microsoft. Struktura Electron zapewnia aplikacjom dostęp do wszystkich zasobów komputera, w tym przetwarzania GPU. Ponieważ ładunek bota jest ładowany dynamicznie w czasie wykonywania, osoby atakujące mogą modyfikować kod i zmieniać zachowanie botów na profil wysokiego ryzyka. Mogą na przykład zainicjować kolejny drugi etap i pobierać nowe złośliwe oprogramowanie, takie jak oprogramowanie ransomware lub RAT. Wszystko to może się zdarzyć bez wiedzy ofiary. Niestety, większość ludzi uważa, że można zaufać recenzjom sklepów z aplikacjami i nie wahają się pobrać stamtąd aplikacji. Ryzyko jednak istnieje, ponieważ nigdy nie wiadomo, jakie złośliwe elementy można pobierać. - wyjaśnia Daniel Alima, analityk złośliwego oprogramowania w Check Point Research.
Badacze Check Pointa odkryli poszlaki świadczące, że szkodliwe oprogramowanie może pochodzić z Bułgarii. Wszystkie warianty w latach 2019–2022 zostały przesłane do bułgarskiej chmury publicznej „mediafire.com”, promowane konto Sound Cloud oraz kanał YouTube noszą nazwę „Ivaylo Yordanov” (to popularny bułgarski zapaśnik/piłkarz), natomiast Bułgaria krajem w kodzie źródłowym. Check Point Research zaznacza, że zgłosiło firmie Microsoft wszystkich wydawców gier powiązanych z kampanią.
Tak działa atak
Kampania złośliwego oprogramowania działa w następujących krokach:
1. Atak rozpoczyna się od instalacji aplikacji sklepu Microsoft, udającej legalną
2. Po instalacji atakujący pobiera pliki i uruchamia skrypty
3. Pobrane złośliwe oprogramowanie utrwala się na komputerze ofiary, wielokrotnie wykonując różne polecenia wysyłane z C&C atakującego
Aby uniknąć wykrycia, większość skryptów kontrolujących szkodliwe oprogramowanie jest ładowana dynamicznie w czasie wykonywania z serwerów atakujących. Umożliwia to atakującym modyfikowanie ładunku złośliwego oprogramowania i zmianę zachowania botów w dowolnym momencie. Złośliwe oprogramowanie wykorzystuje platformę Electron, aby naśladować ludzkie zachowanie podczas przeglądania i omijać zabezpieczenia witryny.