Şimdiye kadar, Google Play Store’da düzenli olarak gizli kötü amaçlı yazılım tespit edildi. Ancak Microsoft Store’daki uygulamaların da tehditlerden arınmış olmadığı ortaya çıktı. Check Point Research’ten siber güvenlik uzmanları, son aylarda 5.000’den fazla programa bulaşan kötü amaçlı yazılım keşfettiklerini duyurdular. Yirmi ülkede bilgisayarlar. Kurbanların çoğu İsveç, Bermuda, İsrail ve İspanya’dan geliyor.

Düzinelerce virüslü uygulama

Microsoft Store’da altı yayıncıdan “Temple Run” ve “Subway Surfer” gibi popüler oyunlar da dahil olmak üzere düzinelerce virüslü uygulama olması gerekiyordu. İçinde gömülü olan Electron-bot kötü amaçlı yazılımı, öncelikle Facebook, Google ve Sound Cloud sosyal medya hesaplarını kontrol edebildi.

Check Point analistleri, kötü amaçlı yazılım olasılıkları arasında diğerlerinin yanı sıra şunlardan bahseder:

SEO zehirlenmesi, yani siber suçluların kötü amaçlı web siteleri oluşturma ve bunları arama sonuçlarında belirgin bir şekilde görüntülemek için arama motoru optimizasyon tekniklerini kullanma yöntemi;
– Reklam tıklaması , yani reklamlara tıklama oluşturma, – Sosyal medyada
hesapları tanıtma – Örneğin, reklamlardan gelir elde etmek için
ürünleri çevrimiçi olarak tanıtın .

Ayrıca, Electron Bot dinamik olarak yüklendiğinden, saldırganlar yüklenen kötü amaçlı yazılımı, kurbanların bilgisayarlarının tam kontrolünü ele geçirmek için bir arka kapı olarak kullanabilirler.

Testimiz, dünya çapında 5.000’den fazla kurbana saldıran Electron-Bot adlı yeni bir kötü amaçlı yazılımı analiz etti. Electron-Bot, resmi Microsoft Store platformu aracılığıyla kolayca yayılır. Electron çerçevesi, uygulamalara GPU işleme dahil tüm bilgisayar kaynaklarına erişim sağlar. Bot yükü çalışma zamanında dinamik olarak yüklendiğinden, saldırganlar kodu değiştirebilir ve botların davranışını yüksek riskli bir profile değiştirebilir. Örneğin, bir sonraki ikinci aşamaya başlayabilir ve fidye yazılımı veya RAT gibi yeni kötü amaçlı yazılımları indirebilirler. Bütün bunlar kurbanın bilgisi olmadan gerçekleşebilir. Ne yazık ki, çoğu kişi App Store incelemelerini güvenilir buluyor ve uygulamayı oradan indirmekten çekinmiyor. Ancak, hangi kötü amaçlı öğelerin indirileceğini asla bilemeyeceğiniz için risk vardır. Check Point Research’teki Kötü Amaçlı Yazılım Analisti Daniel Alema açıklıyor.

Checkpoint araştırmacıları , kötü amaçlı yazılımın Bulgaristan kaynaklı olabileceğine dair kanıtlar keşfetti. 2019-2022’deki tüm varyantlar Bulgar genel bulutu “mediafire.com”a yüklendi, tanıtılan Sound Cloud hesabı ve YouTube kanalı “Ivaylo Yordanov” (ünlü bir Bulgar güreşçisi/futbol oyuncusu) olarak adlandırılıyor, Bulgaristan ise kaynak kodunda ülke. Check Point Research, kampanyayla ilişkili tüm oyun yayıncılarını Microsoft’a bildirdiğini bildirdi.

Saldırı böyle işliyor

Kötü amaçlı yazılım kampanyası aşağıdaki adımlarda çalışır:

1. Saldırı, meşruymuş gibi davranan bir Microsoft mağaza uygulaması yüklemekle başlar

2. Yüklemeden sonra, saldırgan dosyaları indirir ve komut dosyalarını çalıştırır

3. Bilgisayarınıza sabitlenen indirilen kötü amaçlı yazılım, saldırganın C&C’sinden gönderilen farklı komutları art arda yürüterek kurban olur

Algılamayı önlemek için çoğu kötü amaçlı yazılım kontrol komut dosyası, çalışma zamanında saldıran sunuculardan dinamik olarak yüklenir. Bu, saldırganların herhangi bir zamanda kötü amaçlı yazılım yükünü değiştirmesine ve botnet’in davranışını değiştirmesine olanak tanır. Kötü amaçlı yazılım, insan tarama davranışını taklit etmek ve web sitesi güvenliğini atlamak için Electron platformunu kullanır.