Finora, nel Google Play Store è stato regolarmente rilevato malware nascosto. Tuttavia, si scopre che anche le applicazioni su Microsoft Store non sono esenti da minacce. Gli esperti di sicurezza informatica di Check Point Research hanno appena annunciato la scoperta di malware che negli ultimi mesi ha infettato più di 5.000 programmi. Computer in venti paesi. La maggior parte delle vittime proviene da Svezia, Bermuda, Israele e Spagna.

Decine di app infette

Dovevano esserci dozzine di app infette nel Microsoft Store, inclusi giochi popolari come “Temple Run” e “Subway Surfer” di sei editori. Il malware Electron-bot in esso incorporato era principalmente in grado di controllare gli account dei social media Facebook, Google e Sound Cloud.

Tra le possibilità del malware, gli analisti di Check Point citano, tra gli altri:

SEO poisoning, ovvero un modo in cui i criminali informatici creano siti Web dannosi e utilizzano tecniche di ottimizzazione dei motori di ricerca per mostrarli in primo piano nei risultati di ricerca;
– Clic sugli annunci, ovvero genera clic sugli annunci, –
Promuovi account sui social media
– Promuovi prodotti online per generare entrate, ad esempio dagli annunci.

Inoltre, poiché Electron Bot viene caricato dinamicamente, gli aggressori possono utilizzare il malware installato come backdoor per assumere il pieno controllo dei computer delle vittime.

Il nostro test ha analizzato un nuovo malware chiamato Electron-Bot che ha attaccato più di 5.000 vittime in tutto il mondo. Electron-Bot si diffonde facilmente tramite la piattaforma ufficiale di Microsoft Store. Il framework Electron consente alle applicazioni di accedere a tutte le risorse del computer, inclusa l’elaborazione GPU. Poiché il payload del bot viene caricato dinamicamente in fase di esecuzione, gli aggressori possono modificare il codice e modificare il comportamento dei bot in un profilo ad alto rischio. Ad esempio, possono avviare la seconda fase successiva e scaricare nuovi malware come ransomware o RAT. Tutto questo può accadere all’insaputa della vittima. Sfortunatamente, la maggior parte delle persone trova le recensioni dell’App Store affidabili e non esita a scaricare l’app da lì. Tuttavia, il rischio c’è perché non sai mai quali elementi dannosi scaricare. Spiega Daniel Alema, analista di malware presso Check Point Research.

I ricercatori di Checkpoint hanno scoperto prove che il malware potrebbe aver avuto origine in Bulgaria. Tutte le varianti nel 2019-2022 sono state caricate sul cloud pubblico bulgaro “mediafire.com”, l’account Sound Cloud promosso e il canale YouTube si chiama “Ivaylo Yordanov” (è un famoso wrestler/calciatore bulgaro), mentre la Bulgaria è il paese nel codice sorgente. Check Point Research riferisce di aver informato Microsoft di tutti gli editori di giochi associati alla campagna.

Ecco come funziona l’attacco

Una campagna malware funziona nei seguenti passaggi:

1. L’attacco inizia con l’installazione di un’app di Microsoft Store che finge di essere legittima

2. Dopo l’installazione, l’attaccante scarica i file ed esegue gli script

3. Il malware scaricato e riparato sul tuo computer diventa vittima eseguendo ripetutamente diversi comandi inviati dal C&C dell’attaccante

Per evitare il rilevamento, la maggior parte degli script di controllo del malware viene caricata dinamicamente in fase di esecuzione dai server attaccanti. Ciò consente agli aggressori di modificare il payload del malware e modificare il comportamento della botnet in qualsiasi momento. Il malware utilizza la piattaforma Electron per imitare il comportamento di navigazione umana e aggirare la sicurezza del sito web.