これまでのところ、隠れたマルウェアはGooglePlayストアで定期的に検出されています。ただし、 MicrosoftStoreのアプリケーションにも脅威がないわけではありません。Check Point Researchのサイバーセキュリティ専門家は、ここ数か月で5,000を超えるプログラムに感染したマルウェアの発見を発表しました。20か国のコンピューター。犠牲者のほとんどはスウェーデン、バミューダ、イスラエル、スペインから来ています。

感染したアプリの数十

Microsoft Storeには、6つの発行元からの「TempleRun」や「SubwaySurfer」などの人気ゲームを含む、数十の感染したアプリがあるはずでした。それに埋め込まれたElectron-botマルウェアは、主にFacebook、Google、SoundCloudのソーシャルメディアアカウントを制御することができました。

マルウェアの可能性の中で、CheckPointのアナリストはとりわけ次のように述べています。

SEOポイズニング、つまりサイバー犯罪者が悪意のあるWebサイトを作成し、検索エンジン最適化手法を使用してそれらを検索結果に目立つように表示する方法。
–広告クリック、つまり広告のクリックを生成します-ソーシャルメディアで
アカウントを宣伝します-たとえば、広告から収益を生み出すために
オンラインで製品を宣伝します。

さらに、Electron Botは動的にロードされるため、攻撃者はインストールされたマルウェアをバックドアとして使用して、被害者のコンピューターを完全に制御することができます。

私たちのテストでは、世界中で5,000人以上の犠牲者を攻撃したElectron-Botと呼ばれる新しいマルウェアを分析しました。Electron-Botは、公式のMicrosoftStoreプラットフォームを介して簡単に拡散されます。Electronフレームワークにより、アプリケーションはGPU処理を含むすべてのコンピューターリソースにアクセスできます。ボットのペイロードは実行時に動的にロードされるため、攻撃者はコードを変更し、ボットの動作をリスクの高いプロファイルに変更する可能性があります。たとえば、次の第2段階を開始して、ランサムウェアやRATなどの新しいマルウェアをダウンロードできます。これはすべて、被害者の知らないうちに発生する可能性があります。残念ながら、ほとんどの人はApp Storeのレビューが信頼できると感じており、そこからアプリをダウンロードすることを躊躇しません。ただし、ダウンロードする悪意のある要素がわからないため、リスクがあります。Check PointResearchのマルウェアアナリストであるDanielAlemaが説明します。

チェックポイントの研究者は、マルウェアがブルガリアで発生した可能性があるという証拠を発見しました。2019-2022年のすべての亜種は、ブルガリアのパブリッククラウド「mediafire.com」にアップロードされました。プロモートされたSound CloudアカウントとYouTubeチャンネルは「IvayloYordanov」（彼は有名なブルガリアのレスラー/サッカー選手）と呼ばれ、ブルガリアはソースコードの国。Check Point Researchは、キャンペーンに関連するすべてのゲームパブリッシャーについてMicrosoftに通知したと報告しています。

これが攻撃の仕組みです

マルウェアキャンペーンは、次の手順で機能します。

1.攻撃は、正当なふりをしてMicrosoftストアアプリをインストールすることから始まります。

2.インストール後、攻撃者はファイルをダウンロードしてスクリプトを実行します

3.コンピュータに修正されたダウンロードされたマルウェアは、攻撃者のC＆Cから送信されたさまざまなコマンドを繰り返し実行することで被害者になります

検出を回避するために、ほとんどのマルウェア制御スクリプトは、実行時に攻撃サーバーから動的にロードされます。これにより、攻撃者はいつでもマルウェアのペイロードを変更したり、ボットネットの動作を変更したりできます。マルウェアはElectronプラットフォームを使用して、人間のブラウジング動作を模倣し、Webサイトのセキュリティを回避します。