Ένα νέο κακόβουλο λογισμικό, που διανέμεται ευρέως μέσω εφαρμογών παιχνιδιών στο επίσημο κατάστημα της Microsoft, εντόπισαν οι ερευνητές. Σύμφωνα με την Check Point Research (CPR), το νέο κακόβουλο λογισμικό, με την ονομασία Electron-bot, μπορεί να ελέγχει τους λογαριασμούς κοινωνικών μέσων των θυμάτων του, συμπεριλαμβανομένων των Facebook, Google και Sound Cloud.

Έχει μολύνει 5.000+ συσκευές και διανέμεται ευρέως μέσω εφαρμογών παιχνιδιών στο επίσημο κατάστημα της MicrosoftΤο κακόβουλο λογισμικό μπορεί να εγγράφει νέους λογαριασμούς, να συνδέεται, να σχολιάζει και να κάνει "like" σε άλλες αναρτήσεις. Η CPR μετρά μέχρι στιγμής 5.000 θύματα σε 20 χώρες. Μέχρι στιγμής, η CPR έχει καταμετρήσει 5.000 σε 20 χώρες. Τα περισσότερα θύματα προέρχονται από τη Σουηδία, τις Βερμούδες, το Ισραήλ και την Ισπανία. 

Οι πλήρεις δυνατότητες του κακόβουλου λογισμικού έχουν ως εξής: 

- SEO poisoning, μια μέθοδος επίθεσης κατά την οποία οι εγκληματίες του κυβερνοχώρου δημιουργούν κακόβουλους ιστότοπους και χρησιμοποιούν τακτικές βελτιστοποίησης μηχανών αναζήτησης για να τους κάνουν να εμφανίζονται σε περίοπτη θέση στα αποτελέσματα αναζήτησης.

- Ad Clicker, μια μόλυνση υπολογιστή που εκτελείται στο παρασκήνιο και συνδέεται συνεχώς με απομακρυσμένους ιστότοπους για να παράγει "κλικ" για διαφημίσεις, με αποτέλεσμα να κερδίζει οικονομικά από το πόσες φορές γίνεται κλικ σε μια διαφήμιση.

- Προώθηση λογαριασμών μέσων κοινωνικής δικτύωσης, όπως το YouTube και το SoundCloud, για να κατευθύνουν την κυκλοφορία σε συγκεκριμένο περιεχόμενο και να αυξήσουν τις προβολές και τα διαφημιστικά κλικ για τη δημιουργία κερδών.

Πώς λειτουργεί το κακόβουλο λογισμικό

Σύμφωνα με τους αναλυτές, καθώς το ωφέλιμο φορτίο του Electron-bot φορτώνεται δυναμικά, οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν το εγκατεστημένο κακόβουλο λογισμικό ως backdoor για να αποκτήσουν πλήρη έλεγχο στο μηχάνημα του θύματος.

Η κακόβουλη καμπάνια λειτουργεί με τα ακόλουθα βήματα: 

Η επίθεση ξεκινά με την εγκατάσταση μιας εφαρμογής του Microsoft Store, που προσποιείται ότι είναι νόμιμη. Μετά την εγκατάσταση, ο επιτιθέμενος κατεβάζει αρχεία και εκτελεί σενάρια.

Το κακόβουλο λογισμικό, το οποίο έχει μεταφορτωθεί, αποκτά ανθεκτικότητα στο μηχάνημα του θύματος, εκτελώντας επανειλημμένα διάφορες εντολές, που αποστέλλονται από το C&C του επιτιθέμενου.

Για να αποφευχθεί η ανίχνευση, τα περισσότερα από τα σενάρια, που ελέγχουν το κακόβουλο λογισμικό, φορτώνονται δυναμικά κατά την εκτέλεση από τους διακομιστές των επιτιθέμενων. Αυτό επιτρέπει στους επιτιθέμενους να τροποποιούν το ωφέλιμο φορτίο του κακόβουλου λογισμικού και να αλλάζουν τη συμπεριφορά των bots ανά πάσα στιγμή. Το κακόβουλο λογισμικό χρησιμοποιεί το πλαίσιο Electron για να μιμηθεί την ανθρώπινη συμπεριφορά περιήγησης και να παρακάμψει τις προστασίες ιστότοπων.

Συμβουλές ασφαλείας

“Για να είστε όσο το δυνατόν πιο ασφαλείς, πριν κατεβάσετε μια εφαρμογή από το κατάστημα εφαρμογών: 

- Αποφύγετε τη λήψη μιας εφαρμογής με μικρό αριθμό κριτικών.

- Αναζητήστε εφαρμογές με καλές, συνεπείς και αξιόπιστες κριτικές.

- Δώστε προσοχή σε ύποπτες ονομασίες εφαρμογών, που δεν είναι πανομοιότυπες με την αρχική ονομασία”.