До сих пор скрытое вредоносное ПО регулярно обнаруживалось в магазине Google Play. Однако оказывается, что приложения в Microsoft Store тоже не свободны от угроз. Эксперты по кибербезопасности из Check Point Research только что объявили об обнаружении вредоносного ПО, которое за последние месяцы заразило более 5000 программ. Компьютеры в двадцати странах. Большинство жертв прибыли из Швеции, Бермудских островов, Израиля и Испании.

Десятки зараженных приложений

В Microsoft Store должны были быть десятки зараженных приложений, в том числе такие популярные игры, как «Temple Run» и «Subway Surfer» от шести издателей. Встроенное в него вредоносное ПО Electron-bot в первую очередь могло контролировать учетные записи социальных сетей Facebook, Google и Sound Cloud.

Среди возможностей вредоносного ПО аналитики Check Point отмечают, в частности:

SEO-отравление, то есть способ, с помощью которого киберпреступники создают вредоносные веб-сайты и используют методы поисковой оптимизации, чтобы отображать их на видном месте в результатах поиска;
— Клики по рекламе, т. е. генерировать клики по рекламе, —
Продвигать аккаунты в социальных сетях
— Продвигать товары в Интернете , например, для получения дохода от рекламы.

Более того, поскольку Electron Bot загружается динамически, злоумышленники могут использовать установленное вредоносное ПО в качестве бэкдора, чтобы получить полный контроль над компьютерами жертв.

Наш тест проанализировал новую вредоносную программу под названием Electron-Bot, которая атаковала более 5000 жертв по всему миру. Electron-Bot легко распространяется через официальную платформу Microsoft Store. Платформа Electron предоставляет приложениям доступ ко всем ресурсам компьютера, включая обработку GPU. Поскольку полезная нагрузка бота динамически загружается во время выполнения, злоумышленники могут изменить код и изменить поведение ботов на профиль с высоким риском. Например, они могут начать следующий второй этап и загрузить новые вредоносные программы, такие как программы- вымогатели или RAT. Все это может происходить без ведома потерпевшего. К сожалению, большинство людей считают обзоры в App Store заслуживающими доверия и без колебаний загружают оттуда приложение. Однако риск существует, потому что вы никогда не знаете, какие вредоносные элементы загрузить. Объясняет Даниэль Алема, аналитик вредоносных программ в Check Point Research.

Исследователи Checkpoint обнаружили доказательства того, что вредоносное ПО могло быть создано в Болгарии. Все варианты в 2019-2022 годах были загружены в болгарское общедоступное облако «mediafire.com», продвигаемый аккаунт Sound Cloud и канал YouTube называется «Ивайло Йорданов» (известный болгарский борец/футболист), а Болгария — страна в исходном коде. Check Point Research сообщает, что уведомила Microsoft обо всех издателях игр, связанных с кампанией.

Так работает атака

Кампания вредоносного ПО состоит из следующих шагов:

1. Атака начинается с установки приложения из магазина Microsoft, выдающего себя за легитимное.

2. После установки злоумышленник скачивает файлы и запускает скрипты

3. Скачанное вредоносное ПО, закрепленное на вашем компьютере, становится жертвой, многократно выполняя различные команды, отправленные с C&C злоумышленника.

Чтобы избежать обнаружения, большинство сценариев управления вредоносными программами загружаются динамически во время выполнения с атакующих серверов. Это позволяет злоумышленникам изменять полезную нагрузку вредоносного ПО и изменять поведение ботнета в любое время. Вредоносное ПО использует платформу Electron, чтобы имитировать поведение человека в Интернете и обходить систему безопасности веб-сайта.