W Microsoft Store, oficjalnym sklepie z aplikacjami na Windowsa, wykryto dziesiątki programów, w tym stosunkowo popularne gry komputerowe, z zaszytym malwarem – informują specjaliści ds. cyberbezpieczeństwa z Check Point Research. Odkryte w aplikacjach złośliwe oprogramowanie o nazwie Electron-bot potrafi przede wszystkim kontrolować konta ofiar w mediach społecznościowych. Do tej pory ofiarami malware’u padło 5000 użytkowników z 20 krajów.
Ukryte złośliwe oprogramowanie do tej pory regularnie wykrywane było przede wszystkim w sklepie Google Play. Okazuje się jednak, że aplikacje znajdujące się na platformie Microsoft Store również nie są wolne od zagrożeń. Eksperci bezpieczeństwa cybernetycznego z Check Point Research poinformowali właśnie o wykryciu malware’u, który w ostatnich miesiącach zainfekował ponad 5 tys. komputerów w dwudziestu krajach. Większość ofiar pochodzi ze Szwecji, Bermudów, Izraela oraz Hiszpanii.
W sklepie Microsoftu miały znajdować się dziesiątki zainfekowanych aplikacji, w tym popularne gry takie jak „Temple Run” czy „Subway Surfer”, pochodzących od sześciu wydawców. Zaszyte w nich złośliwe oprogramowanie Electron-bot zdolne było przede wszystkim do kontrolowania kont społecznościowych Facebook, Google oraz Sound Cloud. Wśród możliwości malware’u analitycy Check Pointa wymieniają m.in.:
- zatruwanie SEO, czyli metodę, w ramach której cyberprzestępcy tworzą złośliwe strony internetowe i wykorzystują taktyki optymalizacji w wyszukiwarkach, aby wyświetlać je w widocznym miejscu w wynikach wyszukiwania;
- ad clicking, czyli generowanie kliknięć reklam,
- promowanie kont w mediach społecznościowych
- promowanie produktów online, aby np. generować zyski z reklam.
Co więcej, ponieważ ładunek Electron-bota jest dynamicznie ładowany, osoby atakujące mogą wykorzystać zainstalowane złośliwe oprogramowanie jako tylne drzwi w celu uzyskania pełnej kontroli nad komputerami ofiar.
– Nasze badanie przeanalizowało nowe złośliwe oprogramowanie o nazwie Electron-Bot, które zaatakowało ponad 5000 ofiar na całym świecie. Electron-Bot łatwo rozprzestrzenia się za pośrednictwem oficjalnej platformy sklepu Microsoft. Struktura Electron zapewnia aplikacjom dostęp do wszystkich zasobów komputera, w tym przetwarzania GPU. Ponieważ ładunek bota jest ładowany dynamicznie w czasie wykonywania, osoby atakujące mogą modyfikować kod i zmieniać zachowanie botów na profil wysokiego ryzyka. Mogą na przykład zainicjować kolejny drugi etap i pobierać nowe złośliwe oprogramowanie, takie jak oprogramowanie ransomware lub RAT. Wszystko to może się zdarzyć bez wiedzy ofiary. Niestety, większość ludzi uważa, że można zaufać recenzjom sklepów z aplikacjami i nie wahają się pobrać stamtąd aplikacji. Ryzyko jednak istnieje, ponieważ nigdy nie wiadomo, jakie złośliwe elementy można pobierać. – wyjaśnia Daniel Alima, analityk złośliwego oprogramowania w Check Point Research.
Badacze Check Pointa odkryli poszlaki świadczące, że szkodliwe oprogramowanie może pochodzić z Bułgarii. Wszystkie warianty w latach 2019–2022 zostały przesłane do bułgarskiej chmury publicznej „mediafire.com”, promowane konto Sound Cloud oraz kanał YouTube noszą nazwę „Ivaylo Yordanov” (to popularny bułgarski zapaśnik/piłkarz), natomiast Bułgaria krajem w kodzie źródłowym.
Check Point Research zaznacza, że zgłosiło firmie Microsoft wszystkich wydawców gier powiązanych z kampanią.
