Malware διανέμεται μέσω του Microsoft Store
Η
Check
Point
Research
(
CPR
) εντόπισε νέο κακόβουλο λογισμικό που διανέμεται ευρέως μέσω εφαρμογών παιχνιδιών στο επίσημο κατάστημα της
Microsoft
.
Με την ονομασία
Electron
–
bot
, το κακόβουλο λογισμικό μπορεί να ελέγχει τους
λογαριασμούς
κοινωνικών μέσων των θυμάτων του, συμπεριλαμβανομένων των
Facebook
,
Google
και
Sound
Cloud
. Το κακόβουλο λογισμικό μπορεί να εγγράφει νέους
λογαριασμούς
, να συνδέεται, να σχολιάζει και να κάνει “
like
” σε άλλες αναρτήσεις. Η
CPR
μετρά μέχρι στιγμής 5.000 θύματα σε 20 χώρες.
Η
CPR
προτρέπει τους χρήστες να διαγράψουν αμέσως εφαρμογές από διαφορετικούς εκδότες.
-
Δημοφιλή παιχνίδια όπως το “
Temple
Run
” ή το “
Subway
Surfer
” βρέθηκαν να είναι κακόβουλα.
-
Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν το εγκατεστημένο κακόβουλο λογισμικό ως κερκόπορτα προκειμένου να αποκτήσουν πλήρη έλεγχο στο μηχάνημα του θύματος
-
Τα περισσότερα θύματα προέρχονται από τη Σουηδία, τις Βερμούδες, το Ισραήλ και την Ισπανία
Η
Check
Point
Research
(
CPR
) εντόπισε νέο κακόβουλο λογισμικό που διανέμεται ευρέως μέσω του επίσημου καταστήματος της
Microsoft
. Με περισσότερα από 5.000 μηχανήματα να έχουν ήδη επηρεαστεί, το κακόβουλο λογισμικό εκτελεί συνεχώς εντολές επιτιθέμενων, όπως ο έλεγχος λογαριασμών κοινωνικών μέσων στο
Facebook
, τη
Google
και το
Sound
Cloud
. Το κακόβουλο λογισμικό μπορεί να εγγράφει νέους
λογαριασμούς
, να συνδέεται, να σχολιάζει και να κάνει “
like
” σε άλλες αναρτήσεις.
Με την ονομασία
Electron
–
bot
από το
CPR
, οι πλήρεις
δυνατότητες
του κακόβουλου λογισμικού έχουν ως εξής:
-
SEO
poisoning
,
μια μέθοδος επίθεσης κατά την οποία οι
εγκληματίες
του κυβερνοχώρου δημιουργούν κακόβουλους ιστότοπους και χρησιμοποιούν τακτικές βελτιστοποίησης μηχανών αναζήτησης για να τους κάνουν να εμφανίζονται σε περίοπτη θέση στα αποτελέσματα αναζήτησης. Αυτή η μέθοδος χρησιμοποιείται επίσης ως πώληση ως υπηρεσία για την προώθηση της κατάταξης άλλων ιστότοπων.
-
Ad
Clicker
,
μια μόλυνση υπολογιστή που εκτελείται στο παρασκήνιο και συνδέεται συνεχώς με απομακρυσμένους ιστότοπους για να παράγει “κλικ” για
διαφημίσεις
, με αποτέλεσμα να κερδίζει οικονομικά από το πόσες φορές γίνεται κλικ σε μια διαφήμιση.
-
Προώθηση λογαριασμών μέσων κοινωνικής δικτύωσης
, όπως το
YouTube
και το
SoundCloud
, για να κατευθύνουν την κυκλοφορία σε συγκεκριμένο
περιεχόμενο
και να αυξήσουν τις προβολές και τα διαφημιστικά κλικ για τη δημιουργία κερδών.
-
Προώθηση διαδικτυακών προϊόντων
, για τη δημιουργία κερδών με κλικ σε
διαφημίσεις
ή αύξηση της βαθμολογίας του καταστήματος για υψηλότερες πωλήσεις.
Επιπλέον, καθώς το ωφέλιμο φορτίο του
Electron
–
bot
φορτώνεται δυναμικά, οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν το εγκατεστημένο κακόβουλο λογισμικό ως
backdoor
για να αποκτήσουν πλήρη έλεγχο στο μηχάνημα του θύματος.
Διανομή μέσω εφαρμογών παιχνιδιών στο
Microsoft
Store
Υπάρχουν δεκάδες μολυσμένες εφαρμογές στο κατάστημα της
Microsoft
. Δημοφιλή παιχνίδια όπως το “
Temple
Run
” ή το “
Subway
Surfer
” βρέθηκαν να είναι κακόβουλα. Η
CPR
εντόπισε αρκετούς κακόβουλους παρόχους παιχνιδιών, όπου όλες οι εφαρμογές κάτω από αυτούς τους παρόχους σχετίζονται με την κακόβουλη εκστρατεία:
-
Lupy games.
-
Crazy 4 games.
-
Jeuxjeuxkeux games
-
Akshi games
-
Goo Games
-
bizon case
Θύματα
Μέχρι στιγμής, η
CPR
έχει καταμετρήσει 5.000 σε 20 χώρες. Τα περισσότερα θύματα προέρχονται από τη Σουηδία, τις Βερμούδες, το Ισραήλ και την Ισπανία.
Πώς λειτουργεί το κακόβουλο λογισμικό
Η κακόβουλη καμπάνια λειτουργεί με τα ακόλουθα βήματα:
-
Η επίθεση ξεκινά με την εγκατάσταση μιας εφαρμογής του
Microsoft
Store
που προσποιείται ότι είναι νόμιμη.
-
Μετά την εγκατάσταση, ο επιτιθέμενος κατεβάζει αρχεία και εκτελεί σενάρια
-
Το κακόβουλο λογισμικό, το οποίο έχει μεταφορτωθεί, αποκτά ανθεκτικότητα στο μηχάνημα του θύματος, εκτελώντας
επανειλημμένα
διάφορες εντολές που αποστέλλονται από το
C
&
C
του επιτιθέμενου
Για να αποφευχθεί η ανίχνευση, τα περισσότερα από τα σενάρια που ελέγχουν το κακόβουλο λογισμικό φορτώνονται δυναμικά κατά την εκτέλεση από τους διακομιστές των επιτιθέμενων.
Αυτό επιτρέπει στους επιτιθέμενους να τροποποιούν το ωφέλιμο φορτίο του κακόβουλου λογισμικού και να αλλάζουν τη συμπεριφορά των
bots
ανά πάσα στιγμή. Το κακόβουλο λογισμικό
χρησιμοποιεί
το πλαίσιο
Electron
για να μιμηθεί την ανθρώπινη συμπεριφορά περιήγησης και να παρακάμψει τις προστασίες ιστότοπων.
Αναφορά
Υπάρχουν ενδείξεις ότι η εκστρατεία κακόβουλου λογισμικού ξεκίνησε από τη Βουλγαρία, όπως:
-
Όλες οι παραλλαγές μεταξύ 2019 – 2022 μεταφορτώθηκαν σε δημόσιο αποθηκευτικό χώρο “
mediafire
.
com
” από τη Βουλγαρία.
-
Ο
λογαριασμός
Sound
Cloud
και το κανάλι
YouTube
που προωθεί το
bot
είναι με το όνομα “
Ivaylo
Yordanov
“, ένας δημοφιλής Βούλγαρος παλαιστήςποδοσφαιριστής
-
Η Βουλγαρία είναι η χώρα που προωθείται περισσότερο στον πηγαίο κώδικα
Αποκάλυψη
Η
CPR
ανέφερε στη
Microsoft
όλους τους εκδότες παιχνιδιών που εντοπίστηκαν και σχετίζονται με αυτή την εκστρατεία.
Σχόλιο από τον Daniel Alima, Malware Analyst στην Check Point Research:
“Αυτή η έρευνα ανέλυσε ένα νέο κακόβουλο λογισμικό με την ονομασία
Electron
–
Bot
που έχει προσβάλει περισσότερα από 5.000 θύματα παγκοσμίως. Το
Electron
–
Bot
κατεβαίνει και εξαπλώνεται εύκολα από την επίσημη πλατφόρμα του
Microsoft
Store
.
Το πλαίσιο
Electron
παρέχει στις εφαρμογές
Electron
πρόσβαση σε όλους τους πόρους του υπολογιστή, συμπεριλαμβανομένων των υπολογιστών
GPU
. Καθώς το ωφέλιμο φορτίο του
bot
φορτώνεται δυναμικά σε κάθε χρόνο εκτέλεσης, οι επιτιθέμενοι μπορούν να τροποποιήσουν τον κώδικα και να αλλάξουν τη συμπεριφορά του
bot
σε υψηλού κινδύνου. Για παράδειγμα, μπορούν να ξεκινήσουν ένα άλλο δεύτερο στάδιο και να ρίξουν ένα νέο κακόβουλο λογισμικό, όπως
ransomware
ή ένα
RAT
. Όλα αυτά μπορούν να συμβούν εν αγνοία του θύματος.
Οι περισσότεροι πιστεύουν ότι μπορείτε να εμπιστεύεστε τις αξιολογήσεις των καταστημάτων εφαρμογών και δεν διστάζουν να κατεβάσουν μια εφαρμογή από εκεί. Υπάρχει απίστευτος κίνδυνος με αυτό, καθώς ποτέ δεν ξέρεις τι κακόβουλα στοιχεία μπορεί να κατεβάσεις”.
Συμβουλές ασφαλείας
Για να είστε όσο το δυνατόν πιο ασφαλείς, πριν κατεβάσετε μια εφαρμογή από το κατάστημα εφαρμογών:
-
Αποφύγετε τη λήψη μιας εφαρμογής με μικρό αριθμό κριτικών
-
Αναζητήστε εφαρμογές με καλές, συνεπείς και αξιόπιστες κριτικές
-
Δώστε προσοχή σε ύποπτες ονομασίες εφαρμογών που δεν είναι πανομοιότυπες με την αρχική ονομασία
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.
-
Bitcoin -
Ethereum -
MetaMask -
Tether -
Cardano -
Xrp -
Binance coin -
Dogecoin
ΔΩΡΕΑ Bitcoin στο TechWar.gr
Βοηθείστε μας να μείνουμε δυνατοί.
Scan το QR code ή αντιγραφή της διεύθυνσης από κάτω και στείλτε μας μερικά Coins Bitcoin
ΔΩΡΕΑ Ethereum στο TechWar.gr
Βοηθείστε μας να μείνουμε δυνατοί.
Scan το QR code ή αντιγραφή της διεύθυνσης από κάτω και στείλτε μας μερικά Coins Ethereum
ΔΩΡΕΑ Tether στο TechWar.gr
Βοηθείστε μας να μείνουμε δυνατοί.
Scan το QR code ή αντιγραφή της διεύθυνσης από κάτω και στείλτε μας μερικά Coins Tether
ΔΩΡΕΑ Cardano στο TechWar.gr
Βοηθείστε μας να μείνουμε δυνατοί.
Scan το QR code ή αντιγραφή της διεύθυνσης από κάτω και στείλτε μας μερικά Coins Cardano
ΔΩΡΕΑ Xrp στο TechWar.gr
Βοηθείστε μας να μείνουμε δυνατοί.
Scan το QR code ή αντιγραφή της διεύθυνσης από κάτω και στείλτε μας μερικά Coins Xrp
Tag/Note:-
420585814
ΔΩΡΕΑ Binance coin στο TechWar.gr
Βοηθείστε μας να μείνουμε δυνατοί.
Scan το QR code ή αντιγραφή της διεύθυνσης από κάτω και στείλτε μας μερικά Coins Binance coin
ΔΩΡΕΑ Dogecoin στο TechWar.gr
Βοηθείστε μας να μείνουμε δυνατοί.
Scan το QR code ή αντιγραφή της διεύθυνσης από κάτω και στείλτε μας μερικά Coins Dogecoin