Jusqu’à présent, des logiciels malveillants cachés ont été régulièrement détectés dans le Google Play Store. Cependant, il s’avère que les applications du Microsoft Store ne sont pas non plus exemptes de menaces. Les experts en cybersécurité de Check Point Research viennent d’annoncer la découverte d’un malware qui a infecté plus de 5 000 programmes ces derniers mois. Des ordinateurs dans vingt pays. La plupart des victimes viennent de Suède, des Bermudes, d’Israël et d’Espagne.

Des dizaines d’applications infectées

Il devait y avoir des dizaines d’applications infectées dans le Microsoft Store, y compris des jeux populaires comme « Temple Run » et « Subway Surfer » de six éditeurs. Le logiciel malveillant Electron-bot qui y était intégré était principalement capable de contrôler les comptes de médias sociaux Facebook, Google et Sound Cloud.

Parmi les possibilités des malwares, les analystes de Check Point mentionnent entre autres :

L’empoisonnement SEO, c’est-à -dire une manière par laquelle les cybercriminels créent des sites Web malveillants et utilisent des techniques d’optimisation des moteurs de recherche pour les afficher en évidence dans les résultats de recherche ;
– Ad click , c’est-à-dire générer des clics sur les publicités,
– Promouvoir les comptes sur les réseaux sociaux
– Promouvoir les produits en ligne pour générer des revenus à partir des publicités par exemple.

De plus, comme Electron Bot est chargé dynamiquement, les attaquants peuvent utiliser le logiciel malveillant installé comme porte dérobée pour prendre le contrôle total des ordinateurs des victimes.

Notre test a analysé un nouveau malware appelé Electron-Bot qui a attaqué plus de 5 000 victimes dans le monde. Electron-Bot se propage facilement via la plateforme officielle Microsoft Store. Le framework Electron permet aux applications d’accéder à toutes les ressources informatiques, y compris le traitement GPU. Étant donné que la charge utile du bot est chargée dynamiquement au moment de l’exécution, les attaquants peuvent modifier le code et modifier le comportement des bots vers un profil à haut risque. Par exemple, ils peuvent démarrer la deuxième étape suivante et télécharger de nouveaux logiciels malveillants tels que des rançongiciels ou des RAT. Tout cela peut arriver à l’insu de la victime. Malheureusement, la plupart des gens trouvent que les critiques de l’App Store sont dignes de confiance et n’hésitent pas à télécharger l’application à partir de là. Cependant, le risque est là car vous ne savez jamais quels éléments malveillants télécharger. Daniel Alema, analyste des logiciels malveillants chez Check Point Research explique.

Les chercheurs de Checkpoint ont découvert des preuves que le malware pourrait provenir de Bulgarie. Toutes les variantes de 2019-2022 ont été téléchargées sur le cloud public bulgare « mediafire.com », le compte Sound Cloud promu et la chaîne YouTube s’appellent « Ivaylo Yordanov » (c’est un célèbre lutteur/footballeur bulgare), tandis que la Bulgarie est le pays dans le code source. Check Point Research rapporte qu’il a informé Microsoft de tous les éditeurs de jeux associés à la campagne.

Voici comment fonctionne l’attaque

Une campagne de logiciels malveillants fonctionne selon les étapes suivantes :

1. L’attaque commence par l’installation d’une application Microsoft Store prétendant être légitime

2. Après l’installation, l’attaquant télécharge des fichiers et exécute des scripts

3. Le logiciel malveillant téléchargé et corrigé sur votre ordinateur devient victime en exécutant à plusieurs reprises différentes commandes envoyées par le C&C de l’attaquant.

Pour éviter la détection, la plupart des scripts de contrôle des logiciels malveillants sont chargés dynamiquement au moment de l’exécution à partir des serveurs attaquants. Cela permet aux attaquants de modifier la charge utile des logiciels malveillants et de changer le comportement du botnet à tout moment. Les logiciels malveillants utilisent la plate-forme Electron pour imiter le comportement de navigation humaine et contourner la sécurité du site Web.