Een nieuwe malware die sociale-media-accounts kan controleren, wordt verspreid via de officiële app store van Microsoft in de vorm van getrojaniseerde gaming-apps, die meer dan 5.000 Windows-machines infecteert in Zweden, Bulgarije, Rusland, Bermuda en Spanje.
Het Israëlische cyberbeveiligingsbedrijf Check Point noemde de malware “Electron Bot”, verwijzend naar een command-and-control (C2) -domein dat in recente campagnes werd gebruikt. De identiteit van de aanvallers is niet bekend, maar er zijn aanwijzingen dat ze vanuit Bulgarije zouden kunnen zijn gestationeerd.
“Electron Bot is een modulaire SEO-vergiftigingsmalware die wordt gebruikt voor sociale media-promotie en klikfraude”, zegt Moshe Marelus van Check Point. zei in een rapport dat deze week is gepubliceerd. “Het wordt voornamelijk gedistribueerd via het Microsoft-winkelplatform en is afkomstig van tientallen geïnfecteerde applicaties, voornamelijk games, die constant worden geüpload door de aanvallers.”
Het eerste teken van kwaadaardige activiteit begon als een advertentieklikcampagne die werd ontdekt in oktober 2018, waarbij de malware zich in het volle zicht verstopte in de vorm van een Google Foto’s-app, zoals onthuld door piepende computer.
In de jaren daarna zou de malware talloze iteraties hebben ondergaan die de malware uitrusten met nieuwe functies en ontwijkende mogelijkheden. Naast het gebruik van het platformonafhankelijke Electron-framework, is de bot ontworpen om payloads te laden die tijdens runtime van de C2-server zijn opgehaald, waardoor het moeilijk te detecteren is.
“Dit stelt de aanvallers in staat om op elk moment de lading van de malware aan te passen en het gedrag van de bots te veranderen”, legt Marelus uit.
De kernfunctionaliteit van Electron Bot is het openen van een verborgen browservenster om SEO-vergiftiging uit te voeren, klikken voor advertenties te genereren, verkeer te leiden naar inhoud die wordt gehost op YouTube en SoundCloud, en specifieke producten te promoten om winst te maken met het klikken op advertenties of het verhogen van de winkelbeoordeling voor hogere verkoop.
Bovendien wordt het geleverd met functies die sociale media-accounts op Facebook, Google en Sound Cloud kunnen beheren, waaronder het registreren van nieuwe accounts, inloggen, evenals het reageren op en het leuk vinden van andere berichten om het aantal weergaven te vergroten.
De aanvalsvolgorde wordt geactiveerd wanneer gebruikers een van de geïnfecteerde applicaties downloaden (bijv. Temple Endless Runner 2) uit de Microsoft Store die, wanneer deze wordt gestart, de game laadt, maar ook stiekem dropt en de next stage dropper installeert via JavaScript.
Onderweg zijn er stappen om potentiële bedreigingsdetectiesoftware van bedrijven zoals Kaspersky Lab, ESET, Norton Security, Webroot, Sophos en F-Secure te identificeren voordat de dropper de daadwerkelijke bot-malware ophaalt.
De lijst met game-uitgevers die de malware-geregen apps hebben gepusht, is als volgt:
- Lupy-spellen
- Gekke 4 spellen
- Jeuxjeuxkeux spellen
- Akshi-spellen
- Goo Games
- Bizon Case
“Omdat de payload van de bot dynamisch wordt geladen bij elke runtime, kunnen de aanvallers de code wijzigen en het gedrag van de bot veranderen in een hoog risico”, merkte Marelus op. “Ze kunnen bijvoorbeeld nog een tweede fase initialiseren en nieuwe malware zoals ransomware of een RAT droppen. Dit alles kan gebeuren zonder medeweten van het slachtoffer.”
