Bisher wurde im Google Play Store regelmäßig versteckte Malware entdeckt. Es stellt sich jedoch heraus, dass auch die Anwendungen im Microsoft Store nicht frei von Bedrohungen sind. Cybersicherheitsexperten von Check Point Research haben gerade die Entdeckung von Malware bekannt gegeben, die in den letzten Monaten mehr als 5.000 Programme infiziert hat. Computer in zwanzig Ländern. Die meisten Opfer stammen aus Schweden, Bermuda, Israel und Spanien.

Dutzende infizierter Apps

Im Microsoft Store soll es Dutzende infizierte Apps geben, darunter beliebte Spiele wie „Temple Run“ und „Subway Surfer“ von sechs Verlagen. Die darin eingebettete Electron-Bot-Malware konnte vor allem die Social-Media-Konten Facebook, Google und Sound Cloud kontrollieren.

Unter den Möglichkeiten von Malware nennen die Analysten von Check Point unter anderem:

SEO-Poisoning, d . h. eine Methode, mit der Cyberkriminelle bösartige Websites erstellen und Techniken zur Suchmaschinenoptimierung verwenden, um sie prominent in den Suchergebnissen anzuzeigen;
– Anzeigenklick , d. h. Klicks auf Anzeigen generieren,
– Konten in sozialen Medien
bewerben, – Produkte online bewerben, um beispielsweise Einnahmen aus Anzeigen zu generieren.

Da der Electron Bot dynamisch geladen wird, können Angreifer außerdem die installierte Malware als Hintertür verwenden, um die vollständige Kontrolle über die Computer der Opfer zu übernehmen.

Unser Test analysierte eine neue Malware namens Electron-Bot, die weltweit mehr als 5.000 Opfer angegriffen hat. Electron-Bot lässt sich einfach über die offizielle Microsoft Store-Plattform verbreiten. Das Electron-Framework gibt Anwendungen Zugriff auf alle Computerressourcen, einschließlich der GPU-Verarbeitung. Da die Bot-Payload zur Laufzeit dynamisch geladen wird, können Angreifer den Code modifizieren und das Verhalten der Bots auf ein Profil mit hohem Risiko ändern. Sie können beispielsweise die nächste zweite Stufe starten und neue Malware wie Ransomware oder RAT herunterladen. All dies kann ohne Wissen des Opfers geschehen. Leider finden die meisten Leute die Bewertungen im App Store vertrauenswürdig und zögern nicht, die App von dort herunterzuladen. Das Risiko besteht jedoch, da Sie nie wissen, welche bösartigen Elemente Sie herunterladen müssen. Daniel Alema, Malware-Analyst bei Check Point Research, erklärt.

Checkpoint- Forscher haben Beweise dafür entdeckt, dass die Malware möglicherweise aus Bulgarien stammt. Alle Varianten in den Jahren 2019-2022 wurden in die bulgarische öffentliche Cloud „mediafire.com“ hochgeladen, das beworbene Sound Cloud-Konto und der YouTube-Kanal heißen „Ivaylo Yordanov“ (er ist ein berühmter bulgarischer Wrestler/Fußballspieler), während Bulgarien die ist Land im Quellcode . Check Point Research berichtet, dass es Microsoft über alle an der Kampagne beteiligten Spieleherausgeber informiert hat.

So funktioniert der Angriff

Eine Malware-Kampagne funktioniert in den folgenden Schritten:

1. Der Angriff beginnt mit der Installation einer Microsoft Store-App, die vorgibt, legitim zu sein

2. Nach der Installation lädt der Angreifer Dateien herunter und führt Skripte aus

3. Die heruntergeladene, auf Ihrem Computer fixierte Malware wird Opfer, indem wiederholt verschiedene Befehle ausgeführt werden, die vom C&C des Angreifers gesendet werden

Um eine Erkennung zu vermeiden, werden die meisten Malware-Kontrollskripte zur Laufzeit dynamisch von den angreifenden Servern geladen. Dadurch können Angreifer die Malware-Payload modifizieren und das Verhalten des Botnetzes jederzeit ändern. Malware nutzt die Electron-Plattform, um das Surfverhalten von Menschen nachzuahmen und die Website-Sicherheit zu umgehen.