Un nuovo malware in grado di controllare gli account dei social media è stato distribuito attraverso l’app store ufficiale di Microsoft sotto forma di app di gioco “troianizzate”, infettando più di 5.000 macchine Windows in Svezia, Bulgaria, Russia, Bermuda e Spagna.
La società israeliana di cybersicurezza Check Point ha soprannominato il malware “Electron Bot“, in riferimento a un dominio di comando e controllo (C2) utilizzato nelle recenti campagne. L’identità degli aggressori non è nota, ma le prove suggeriscono che potrebbero essere basati fuori dalla Bulgaria.
“Electron Bot è un malware modulare di avvelenamento SEO, che viene utilizzato per la promozione dei social media e la frode dei clic“, ha detto Moshe Marelus di Check Point in un rapporto pubblicato questa settimana. “Viene distribuito principalmente attraverso la piattaforma Microsoft store e viene scaricato da decine di applicazioni infette, per lo più giochi, che vengono costantemente caricati dagli attaccanti“.
Il primo segno di attività malevola è iniziato come una campagna di clicker pubblicitari che è stata scoperta nell’ottobre 2018, con il malware che si nascondeva in bella vista sotto forma di un’app di Google Photos, come rivelato da Bleeping Computer.
Negli anni successivi, si dice che il malware abbia subito numerose iterazioni che lo dotano di nuove caratteristiche e capacità evasive. Oltre a utilizzare il framework multipiattaforma Electron, il bot è stato progettato per caricare i carichi utili recuperati dal server C2 in fase di esecuzione, rendendolo difficile da rilevare e capace di modificarsi.
La funzionalità principale di Electron Bot è quella di aprire una finestra nascosta del browser al fine di effettuare l’avvelenamento SEO, generare clic per gli annunci, indirizzare il traffico verso contenuti ospitati su YouTube e SoundCloud, e promuovere prodotti specifici per generare profitti con i clic sugli annunci o aumentare il rating del negozio per aumentare le vendite.
Oltre a questo, è anche dotato di funzioni che possono controllare gli account dei social media su Facebook, Google e Sound Cloud, compresa la registrazione di nuovi account, l’accesso, così come commentare e apprezzare altri post per aumentare le visualizzazioni.
La sequenza di attacco viene innescata quando gli utenti scaricano una delle applicazioni infette (ad esempio, Temple Endless Runner 2) dal negozio Microsoft che, quando viene lanciato, carica il gioco ma anche furtivamente scende e installa il dropper della fase successiva tramite JavaScript.
L’elenco degli editori di giochi che hanno spinto le app con malware è il seguente :
- Giochi Lupy
- Giochi Crazy 4
- Giochi Jeuxjeuxkeux
- Giochi Akshi
- Giochi Goo
- Caso Bizzon
“Poiché il payload del bot viene caricato dinamicamente ad ogni esecuzione, gli attaccanti possono modificare il codice e cambiare il comportamento del bot ad alto rischio“, ha notato Marelus. “Per esempio, possono inizializzare un altro secondo stadio e rilasciare un nuovo malware come il ransomware o un RAT. Tutto questo può accadere senza che la vittima ne sia a conoscenza“.
