Un nuevo malware capaz de controlar las cuentas de las redes sociales se está distribuyendo a través de la tienda de aplicaciones oficial de Microsoft en forma de aplicaciones de juegos con troyanos, infectando a más de 5000 máquinas con Windows en Suecia, Bulgaria, Rusia, las Bermudas y España.
La empresa de ciberseguridad israelí Check Point denominó al malware «Electron Bot», en referencia a un dominio de comando y control (C2) utilizado en campañas recientes. Se desconoce la identidad de los atacantes, pero la evidencia sugiere que podrían tener su sede en Bulgaria.
«Electron Bot es un malware de envenenamiento de SEO modular, que se utiliza para la promoción de las redes sociales y el fraude de clics», Moshe Marelus de Check Point. dijo en un informe publicado esta semana. «Se distribuye principalmente a través de la plataforma de la tienda de Microsoft y se elimina de docenas de aplicaciones infectadas, en su mayoría juegos, que los atacantes cargan constantemente».
La primera señal de actividad maliciosa comenzó como una campaña de clics en anuncios que se descubrió en octubre de 2018, con el malware escondido a plena vista en forma de una aplicación de Google Photos, según lo revelado por computadora pitido.
En los años transcurridos desde entonces, se dice que el malware ha sufrido numerosas iteraciones que equipan al malware con nuevas características y capacidades evasivas. Además de utilizar el marco Electron multiplataforma, el bot está diseñado para cargar cargas útiles obtenidas del servidor C2 en tiempo de ejecución, lo que dificulta su detección.
«Esto permite a los atacantes modificar la carga útil del malware y cambiar el comportamiento de los bots en cualquier momento», explicó Marelus.
La funcionalidad principal de Electron Bot es abrir una ventana oculta del navegador para llevar a cabo el envenenamiento de SEO, generar clics para anuncios, dirigir el tráfico al contenido alojado en YouTube y SoundCloud, y promocionar productos específicos para generar ganancias al hacer clic en anuncios o aumentar la calificación de la tienda para obtener más. Ventas.
Además de eso, también viene con funciones que pueden controlar las cuentas de redes sociales en Facebook, Google y Sound Cloud, incluido el registro de nuevas cuentas, iniciar sesión, así como comentar y dar me gusta a otras publicaciones para aumentar las vistas.
La secuencia de ataque se activa cuando los usuarios descargan una de las aplicaciones infectadas (p. ej., Temple Endless Runner 2) de la tienda de Microsoft que, cuando se inicia, carga el juego pero también descarga e instala sigilosamente el cuentagotas de la siguiente etapa a través de JavaScript.
En el camino, hay pasos para identificar el software de detección de amenazas potenciales de compañías como Kaspersky Lab, ESET, Norton Security, Webroot, Sophos y F-Secure antes de que el cuentagotas proceda a buscar el malware de bot real.
La lista de editores de juegos que impulsaron las aplicaciones con malware es la siguiente:
- juegos lupy
- 4 juegos locos
- juegos Jeuxjeuxkeux
- juegos de akshi
- juegos goo
- Caso Bizzon
«Como la carga útil del bot se carga dinámicamente en cada tiempo de ejecución, los atacantes pueden modificar el código y cambiar el comportamiento del bot a alto riesgo», señaló Marelus. «Por ejemplo, pueden inicializar otra segunda etapa y lanzar un nuevo malware como ransomware o RAT. Todo esto puede suceder sin el conocimiento de la víctima».