Một phần mềm độc hại mới có khả năng kiểm soát các tài khoản mạng xã hội đang được phân phối thông qua cửa hàng ứng dụng chính thức của Microsoft dưới dạng các ứng dụng trò chơi bị trojanized, lây nhiễm cho hơn 5.000 máy Windows ở Thụy Điển, Bulgaria, Nga, Bermuda và Tây Ban Nha.
Công ty an ninh mạng Check Point của Israel đã đặt tên cho phần mềm độc hại này là “Electron Bot”, liên quan đến miền chỉ huy và kiểm soát (C2) được sử dụng trong các chiến dịch gần đây. Danh tính của những kẻ tấn công không được biết, nhưng bằng chứng cho thấy chúng có thể ở ngoài Bulgaria.
“Electron Bot là một phần mềm độc hại đầu độc SEO theo mô-đun, được sử dụng để quảng bá trên mạng xã hội và gian lận nhấp chuột”, Moshe Marelus của Check Point cho biết trong một báo cáo được công bố tuần này. “Nó chủ yếu được phân phối thông qua nền tảng cửa hàng Microsoft và bị loại bỏ khỏi hàng chục ứng dụng bị nhiễm, chủ yếu là trò chơi, được những kẻ tấn công tải lên liên tục.”
Dấu hiệu đầu tiên của hoạt động độc hại bắt đầu là một chiến dịch nhấp chuột vào quảng cáo được phát hiện vào tháng 10 năm 2018, với phần mềm độc hại ẩn nấp dưới dạng ứng dụng Google Photos, như Bleeping Computer tiết lộ.
Trong những năm kể từ đó, phần mềm độc hại được cho là đã trải qua nhiều lần lặp lại để trang bị cho phần mềm độc hại các tính năng mới và khả năng lẩn tránh. Ngoài việc sử dụng khung Electron đa nền tảng, bot được thiết kế để tải các trọng tải được lấy từ máy chủ C2 tại thời điểm chạy, nên rất khó bị phát hiện.
Marelus giải thích: “Điều này cho phép những kẻ tấn công sửa đổi tải trọng của phần mềm độc hại và thay đổi hành vi của bot tại bất kỳ thời điểm nào.
Chức năng cốt lõi của Electron Bot là mở một cửa sổ trình duyệt ẩn để thực hiện SEO, tạo nhấp chuột cho quảng cáo, hướng lưu lượng truy cập đến nội dung được lưu trữ trên YouTube và SoundCloud, đồng thời quảng bá các sản phẩm cụ thể để tạo ra lợi nhuận bằng cách nhấp vào quảng cáo hoặc tăng xếp hạng cửa hàng cho cao hơn doanh số bán hàng.
Hơn hết, nó cũng đi kèm với các chức năng có thể kiểm soát các tài khoản mạng xã hội trên Facebook, Google và Sound Cloud, bao gồm đăng ký tài khoản mới, đăng nhập, cũng như bình luận và thích các bài đăng khác để tăng lượt xem.
Chuỗi tấn công được kích hoạt khi người dùng tải xuống một trong những ứng dụng bị nhiễm (ví dụ: Temple Endless Runner 2) từ cửa hàng Microsoft, khi khởi chạy, tải trò chơi nhưng cũng lén lút thả và cài đặt phần nhỏ giọt giai đoạn tiếp theo thông qua JavaScript.
Đồng thời, có các bước để xác định phần mềm phát hiện mối đe dọa tiềm ẩn từ các công ty như Kaspersky Lab, ESET, Norton Security, Webroot, Sophos và F-Secure trước khi ống nhỏ giọt tiến hành tìm nạp phần mềm độc hại bot thực sự.
Danh sách các nhà xuất bản trò chơi đã đẩy các ứng dụng chứa phần mềm độc hại như sau:
Trò chơi lúp xúp Crazy 4 trò chơi Trò chơi jeuxjeuxkeux Trò chơi Akshi Trò chơi Goo Trò chơi Bizzon Case
Marelus lưu ý: “Do tải trọng của bot được tải động tại mỗi thời điểm chạy, những kẻ tấn công có thể sửa đổi mã và thay đổi hành vi của bot thành nguy cơ cao”. “Ví dụ: chúng có thể khởi tạo một giai đoạn thứ hai khác và thả một phần mềm độc hại mới như ransomware hoặc RAT. Tất cả những điều này có thể xảy ra mà nạn nhân không hề hay biết.”
.
