Neue Malware, die Social-Media-Konten kontrollieren kann, infiziert mehr als 5.000 Computer und wird aktiv über Gaming-Anwendungen im offiziellen Store von Microsoft verteilt

Check Point Research (CPR) entdeckt neue Malware, die aktiv über Spielanwendungen im offiziellen Store von Microsoft verbreitet wird. Die Malware mit dem Namen Electron-bot kann Social-Media-Konten ihrer Opfer kontrollieren, darunter Facebook, Google und Sound Cloud. Die Malware kann neue Konten registrieren, sich anmelden, andere Beiträge kommentieren und „liken“. CPR zählt bisher 5.000 Opfer in 20 Ländern. CPR fordert die Benutzer dringend auf, Anwendungen von einer Reihe von Verlagen sofort zu löschen.

Beliebte Spiele wie „Temple Run“ oder „Subway Surfer“ erwiesen sich als bösartig. Angreifer können die installierte Malware als Hintertür nutzen, um die volle Kontrolle über den Rechner des Opfers zu erlangen. Die meisten Opfer stammen aus Schweden, Bermuda, Israel und Spanien

Check Point Research (CPR) hat neue Malware entdeckt, die aktiv über den offiziellen Store von Microsoft vertrieben wird. Mit bereits über 5.000 betroffenen Computern führt die Malware kontinuierlich Angreiferbefehle aus, z. B. die Kontrolle von Social-Media-Konten auf Facebook, Google und Sound Cloud. Die Malware kann neue Konten registrieren, sich anmelden, andere Beiträge kommentieren und „liken“.

Von CPR als Electron-Bot bezeichnet, sind die vollständigen Funktionen der Malware wie folgt:

SEO-Vergiftung, Eine Angriffsmethode, bei der Cyberkriminelle bösartige Websites erstellen und mithilfe von Taktiken zur Suchmaschinenoptimierung in den Suchergebnissen prominent auftauchen. Diese Methode wird auch als Sell-as-a-Service verwendet, um das Ranking anderer Websites zu fördern.
Anzeigenklicker, eine Computerinfektion, die im Hintergrund läuft und ständig eine Verbindung zu entfernten Websites herstellt, um „Klicks“ für Werbung zu generieren, und somit finanziell davon profitiert, wie oft auf eine Werbung geklickt wird.
Werben Sie für Social-Media-Kontenwie YouTube und SoundCloud, um den Verkehr zu bestimmten Inhalten zu leiten und die Aufrufe und das Klicken auf Anzeigen zu erhöhen, um Gewinne zu erzielen.
Online-Produkte bewerben, um mit dem Anklicken von Anzeigen Gewinne zu erzielen oder die Ladenbewertung für höhere Verkäufe zu erhöhen.

Da die Payload von Electron-bot dynamisch geladen wird, können die Angreifer die installierte Malware außerdem als Hintertür verwenden, um die vollständige Kontrolle über den Computer des Opfers zu erlangen.

Vertrieb über Gaming Apps im Microsoft Store

Es gibt Dutzende von infizierten Anwendungen im Microsoft Store. Beliebte Spiele wie „Temple Run“ oder „Subway Surfer“ erwiesen sich als bösartig. CPR hat mehrere böswillige Spieleherausgeber entdeckt, wobei alle Anwendungen dieser Herausgeber mit der böswilligen Kampagne in Verbindung stehen:

Lupy-Spiele. Verrückte 4 Spiele. Jeuxjeuxkeux Spiele Akshi Spiele Goo Games bizon Fall

Die Opfer

Bisher zählte CPR 5.000 in 20 Ländern. Die meisten Opfer stammen aus Schweden, Bermuda, Israel und Spanien.

Funktionsweise der Malware

Die Malware-Kampagne funktioniert in den folgenden Schritten:

Der Angriff beginnt mit der Installation einer Microsoft Store-Anwendung, die vorgibt, legitim zu sein. Nach der Installation lädt der Angreifer Dateien herunter und führt Skripte aus. Die heruntergeladene Malware bleibt auf dem Computer des Opfers bestehen und führt wiederholt verschiedene Befehle aus, die vom C&C des Angreifers gesendet werden

Um eine Erkennung zu vermeiden, werden die meisten Skripte, die die Malware steuern, zur Laufzeit dynamisch von den Servern der Angreifer geladen. Dies ermöglicht es den Angreifern, die Payload der Malware zu modifizieren und das Verhalten der Bots jederzeit zu ändern. Die Malware verwendet das Electron-Framework, um das Surfverhalten von Menschen nachzuahmen und den Website-Schutz zu umgehen.

Zuschreibung

Es gibt Hinweise darauf, dass die Malware-Kampagne ihren Ursprung in Bulgarien hat, darunter:

Alle Varianten zwischen 2019 – 2022 wurden auf einen öffentlichen Cloud-Speicher „mediafire.com“ aus Bulgarien hochgeladen. Das Sound Cloud-Konto und der YouTube-Kanal, für den der Bot wirbt, tragen den Namen „Ivaylo Yordanov“, ein beliebter bulgarischer Wrestler/Fußballspieler aus Bulgarien meistbeworbenes Land im Quellcode

Offenlegung

CPR hat Microsoft alle erkannten Spieleherausgeber gemeldet, die mit dieser Kampagne in Verbindung stehen.

Daniel Alima, Malware-Analyst bei Check Point Research:

„Diese Forschung analysierte eine neue Malware namens Electron-Bot, die weltweit mehr als 5000 Opfer angegriffen hat. Electron-Bot kann von der offiziellen Microsoft Store-Plattform heruntergeladen und einfach verbreitet werden. Das Electron-Framework bietet Electron-Apps Zugriff auf alle Computerressourcen, einschließlich GPU-Computing. Da die Payload des Bots bei jeder Laufzeit dynamisch geladen wird, können die Angreifer den Code modifizieren und das Verhalten des Bots auf hohes Risiko ändern. Beispielsweise können sie eine weitere zweite Stufe initialisieren und eine neue Malware wie Ransomware oder eine RAT ablegen. All dies kann ohne das Wissen des Opfers geschehen. Die meisten Leute denken, dass Sie den Bewertungen von Anwendungsspeichern vertrauen können, und sie zögern nicht, eine Anwendung von dort herunterzuladen. Das birgt ein unglaubliches Risiko, da man nie weiß, welche schädlichen Elemente man herunterladen kann.“

Sicherheitstipps

Um so sicher wie möglich zu bleiben, bevor Sie eine Anwendung aus dem App Store herunterladen:

Vermeiden Sie das Herunterladen einer Anwendung mit wenigen Bewertungen. Suchen Sie nach Anwendungen mit guten, konsistenten und zuverlässigen Bewertungen. Achten Sie auf verdächtige Anwendungsnamen, die nicht mit dem ursprünglichen Namen identisch sind