Check Point Research (CPR) – azienda specializzata in cybersecurity – ha scoperto un nuovo malware che viene distribuito attraverso le app di gaming sullo store ufficiale di Microsoft. Il malware, chiamato Electron-bot, può controllare gli account dei social media delle sue vittime; può registrare nuovi account, accedere, commentare e mettere Like ad altri post. Il malware ha infettato gaming app molto popolari come “Temple Run” o “Subway Surfer”.
Stando a quanto riferiscono i ricercatori, il malware ha finora registrato 5.000 vittime in 20 Paesi, – la maggior parte provenienti dalla Svezia, dalle Bermuda, da Israele e dalla Spagna. Check Pinty suggerisce agli utenti di cancellare immediatamente le applicazioni di alcuni web publisher.
Electron-bot ha diverse capacità:
- SEO poisoning, un metodo con il quale i criminali informatici creano siti web dannosi e usano tattiche di ottimizzazione nei motori di ricerca per mostrarli tra i primi risultati di ricerca. Questo metodo è anche usato nelle vendite come servizio per promuovere il ranking di altri siti.
- Ad Clicker, un’infezione del computer che funziona in background e si connette costantemente a siti web per generare “click” per l’adv, traendo quindi profitto dal numero di click appunto, che questo annuncio riceve.
- Promuovere gli account social, come YouTube e SoundCloud per dirigere il traffico verso contenuti specifici e aumentare le view e i click sugli annunci, generando così profitti.
- Promuovere prodotti online, per generare profitti con click sugli annunci o aumentare la valutazione dello store per incrementare le vendite.
Dal momento che il payload di Electron-bot viene caricato automaticamente, i cybercriminali possono utilizzare il malware installato come backdoor per ottenere il pieno controllo sul device della vittima.
Ci sono decine di applicazioni infette nel Microsoft Store. Giochi popolari e storici come “Temple Run” o “Subway Surfer” sono stati trovati infetti. I ricercatori hanno rilevato diversi publisher malevoli, le app dei quali sono collegate a questa campagna pericolosa:
• Lupy games
• Crazy 4 games.
• Jeuxjeuxkeux games
• Akshi games
• Goo Games
• Bizon case
Come funziona il malware
- L’attacco inizia con l’installazione di un’app non autentica dal Microsoft Store
- Dopo l’installazione, il cybercriminale scarica i file ed esegue gli script
- Il malware, che è stato scaricato, prende man mano il controllo del sistema, eseguendo ripetutamente vari comandi inviati dal server C&C dell’aggressore.
Per evitare il rilevamento, la maggior parte degli script che controllano il malware sono caricati in fase di esecuzione dai server degli aggressori. Questo permette agli hacker di modificare il payload del malware e cambiare il comportamento dei bot in qualsiasi momento. Il malware utilizza il framework Electron per imitare il comportamento dell’utente durante la navigazione, evitando così le protezioni dei siti web.
Check Point ritiene che il malware abbia avuto origine in Bulgaria: tutte le varianti tra il 2019 e il 2022 sono state caricate su un cloud storage pubblico dal nome “mediafire.com”, proveniente dalla Bulgaria; l’account Sound Cloud e il canale YouTube che il bot promuove sono sotto il nome di “Ivaylo Yordanov”, un popolare wrestler e calciatore bulgaro. La Bulgaria è il Paese più presente nel codice sorgente.
Check Point ha segnalato a Microsoft tutti i game publisher che sono collegati a questa campagna.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.
