Hasta ahora, se ha detectado regularmente malware oculto en Google Play Store. Sin embargo, resulta que las aplicaciones de Microsoft Store tampoco están libres de amenazas. Los expertos en ciberseguridad de Check Point Research acaban de anunciar el descubrimiento de un malware que ha infectado a más de 5.000 programas en los últimos meses. Computadoras en veinte países. La mayoría de las víctimas provienen de Suecia, Bermudas, Israel y España.

Docenas de aplicaciones infectadas

Se suponía que había docenas de aplicaciones infectadas en Microsoft Store, incluidos juegos populares como «Temple Run» y «Subway Surfer» de seis editores. El malware Electron-bot incrustado en él podía controlar principalmente las cuentas de las redes sociales Facebook, Google y Sound Cloud.

Entre las posibilidades del malware, los analistas de Check Point mencionan, entre otras:

Envenenamiento de SEO, es decir , una forma en que los ciberdelincuentes crean sitios web maliciosos y utilizan técnicas de optimización de motores de búsqueda para mostrarlos de manera destacada en los resultados de búsqueda;
– Clic en anuncios , es decir, generar clics en anuncios,
– Promocionar cuentas en las redes sociales
– Promocionar productos en línea para generar ingresos a partir de anuncios, por ejemplo.

Además, debido a que Electron Bot se carga dinámicamente, los atacantes pueden usar el malware instalado como una puerta trasera para tomar el control total de las computadoras de las víctimas.

Nuestra prueba analizó un nuevo malware llamado Electron-Bot que ha atacado a más de 5000 víctimas en todo el mundo. Electron-Bot se propaga fácilmente a través de la plataforma oficial de Microsoft Store. El marco Electron brinda acceso a las aplicaciones a todos los recursos de la computadora, incluido el procesamiento de GPU. Dado que la carga útil del bot se carga dinámicamente en tiempo de ejecución, los atacantes pueden modificar el código y cambiar el comportamiento de los bots a un perfil de alto riesgo. Por ejemplo, pueden iniciar la siguiente segunda etapa y descargar nuevo malware como ransomware o RAT. Todo esto puede suceder sin el conocimiento de la víctima. Desafortunadamente, la mayoría de las personas encuentran que las revisiones de la App Store son confiables y no dudan en descargar la aplicación desde allí. Sin embargo, el riesgo existe porque nunca se sabe qué elementos maliciosos descargar. Daniel Alema, analista de malware de Check Point Research, explica.

Los investigadores de Checkpoint han descubierto evidencia de que el malware puede haberse originado en Bulgaria. Todas las variantes en 2019-2022 se han subido a la nube pública búlgara «mediafire.com», la cuenta de Sound Cloud promocionada y el canal de YouTube se llama «Ivaylo Yordanov» (es un famoso luchador/jugador de fútbol búlgaro), mientras que Bulgaria es el país en el código fuente. Check Point Research informa que ha notificado a Microsoft de todos los editores de juegos asociados con la campaña.

Así funciona el ataque

Una campaña de malware funciona en los siguientes pasos:

1. El ataque comienza con la instalación de una aplicación de la tienda de Microsoft que finge ser legítima

2. Después de la instalación, el atacante descarga archivos y ejecuta scripts

3. El malware descargado reparado en su computadora se convierte en víctima al ejecutar repetidamente diferentes comandos enviados desde el C&C del atacante

Para evitar la detección, la mayoría de los scripts de control de malware se cargan dinámicamente en tiempo de ejecución desde los servidores atacantes. Esto permite a los atacantes modificar la carga útil del malware y cambiar el comportamiento de la botnet en cualquier momento. El malware utiliza la plataforma Electron para imitar el comportamiento de navegación humano y eludir la seguridad del sitio web.