Virusi i ri që përhapet përmes aplikacioneve të lojërave në Microsoft Store, vjedh llogaritë tuaja të mediave sociale
Një malware i ri i aftë për të kontrolluar llogaritë e mediave sociale po shpërndahet përmes dyqanit zyrtar të aplikacioneve të Microsoft në formën e aplikacioneve të lojërave të trojanizuara, duke infektuar më shumë se 5000 makina Windows në Suedi, Bullgari, Rusi, Bermuda dhe Spanjë.
Kompania izraelite e sigurisë kibernetike Check Point e quajti malware “Electron Bot”, duke iu referuar një domeni komandimi dhe kontrolli (C2) të përdorur në fushatat e fundit. Identiteti i sulmuesve nuk dihet, por provat sugjerojnë se ata mund të ndodheshin jashtë Bullgarisë.
“Electron Bot është një malware modular i helmimit të SEO, i cili përdoret për promovimin e mediave sociale dhe mashtrimin e klikimeve,” tha Moshe Marelus i Check Point në një raport të botuar këtë javë. “Ai shpërndahet kryesisht përmes platformës së dyqaneve të Microsoft dhe është hequr nga dhjetëra aplikacione të infektuara, kryesisht lojëra, të cilat ngarkohen vazhdimisht nga sulmuesit”.
Shenja e parë e aktivitetit keqdashës filloi si një fushatë e klikimit të reklamave që u zbulua në tetor 2018, me malware të fshehur në pamje të qartë në formën e një aplikacioni Google Photos, siç zbulohet nga Bleeping Computer.
Në vitet që pasuan, malware thuhet se ka pësuar përsëritje të shumta që e pajisin malware me veçori të reja dhe aftësi evazive. Përveç përdorimit të kornizës Electron ndër-platformë, roboti është krijuar për të ngarkuar ngarkesat e marra nga serveri C2 në kohën e ekzekutimit, duke e bërë të vështirë zbulimin.
“Kjo u mundëson sulmuesve të modifikojnë ngarkesën e malware dhe të ndryshojnë sjelljen e robotëve në çdo kohë të caktuar,” shpjegoi Marelus.
Funksionaliteti kryesor i Electron Bot është të hapë një dritare të fshehur të shfletuesit për të kryer helmimin e SEO, për të gjeneruar klikime për reklama, për të drejtuar trafikun në përmbajtjen e pritur në YouTube dhe SoundCloud dhe për të promovuar produkte specifike për të gjeneruar fitime me klikimin e reklamave ose për të rritur vlerësimin e dyqanit për më shumë shitjet.
Për më tepër, ai gjithashtu vjen me funksione që mund të kontrollojnë llogaritë e mediave sociale në Facebook, Google dhe Sound Cloud, duke përfshirë regjistrimin e llogarive të reja, hyrjen, si dhe komentimin dhe pëlqimin e postimeve të tjera për të rritur shikimet.
Sekuenca e sulmit aktivizohet kur përdoruesit shkarkojnë një nga aplikacionet e infektuara (p.sh. Temple Endless Runner 2) nga dyqani i Microsoft-it që, kur lansohet, ngarkon lojën, por gjithashtu lëshon fshehurazi dhe instalon pikatoren e fazës tjetër nëpërmjet JavaScript.