到目前为止，已在 Google Play 商店中定期检测到隐藏的恶意软件。然而，事实证明，Microsoft Store上的应用程序也并非没有受到威胁。Check Point Research 的网络安全专家刚刚宣布发现最近几个月感染了 5,000 多个程序的恶意软件。二十个国家的电脑。大多数受害者来自瑞典、百慕大、以色列和西班牙。

数十个受感染的应用程序

Microsoft Store 中应该有数十个受感染的应用程序，包括来自六家发行商的热门游戏，如“Temple Run”和“Subway Surfer”。嵌入其中的 Electron-bot 恶意软件主要能够控制社交媒体帐户 Facebook、Google 和 Sound Cloud。

在恶意软件的可能性中，Check Point 分析师提到：

SEO 中毒，即网络犯罪分子创建恶意网站并使用搜索引擎优化技术在搜索结果中突出显示它们的一种方式；
–广告点击，即产生广告点击， –在社交媒体上
推广帐户
– 在线推广产品以从广告中获得收入。

此外，由于Electron Bot是动态加载的，攻击者可以使用安装的恶意软件作为后门来完全控制受害者的计算机。

我们的测试分析了一种名为 Electron-Bot 的新型恶意软件，该恶意软件已在全球范围内攻击了 5,000 多名受害者。Electron-Bot 通过官方 Microsoft Store 平台轻松传播。Electron 框架使应用程序可以访问所有计算机资源，包括 GPU 处理。由于 bot 有效负载是在运行时动态加载的，因此攻击者可以修改代码并将 bot 的行为更改为高风险配置文件。例如，他们可以开始下一个第二阶段并下载新的恶意软件，例如勒索软件或 RAT。这一切都可能在受害者不知情的情况下发生。不幸的是，大多数人认为 App Store 的评论是值得信赖的，他们会毫不犹豫地从那里下载该应用程序。但是，存在风险，因为您永远不知道要下载哪些恶意元素。Check Point Research 的恶意软件分析师 Daniel Alema 解释说。

Checkpoint研究人员发现了该恶意软件可能起源于保加利亚的证据。2019-2022 年的所有变种都已上传到保加利亚公共云“mediafire.com”，推广的 Sound Cloud 帐户和 YouTube 频道称为“Ivaylo Yordanov”（他是保加利亚著名的摔跤手/足球运动员），而保加利亚是源代码中的国家。Check Point Research 报告称，它已通知微软所有与该活动相关的游戏发行商。

这就是攻击的工作原理

恶意软件活动按以下步骤进行：

1. 攻击从安装一个伪装成合法的微软商店应用开始

2、安装后，攻击者下载文件并运行脚本

3. 下载的恶意软件通过反复执行攻击者C&C发送的不同命令成为受害者

为避免检测，大多数恶意软件控制脚本在运行时从攻击服务器动态加载。这允许攻击者随时修改恶意软件负载并改变僵尸网络的行为。恶意软件使用 Electron 平台来模仿人类浏览行为并绕过网站安全。