-
14/01/2021
-
19
-
85 bài viết
Phát hiện phần mềm độc hại lây nhiễm qua các ứng dụng trò chơi trên Microsoft Store
Một phần mềm độc hại mới có khả năng kiểm soát các tài khoản mạng xã hội đang được phân phối thông qua Microsoft Store dưới dạng các ứng dụng trò chơi bị nhiễm trojan, lây nhiễm cho hơn 5.000 máy Windows ở Thụy Điển, Bulgaria, Nga, Bermuda và Tây Ban Nha.Công ty an ninh mạng Check Point của Israel đã đặt tên cho phần mềm độc hại này là "Electron Bot", liên quan đến command and control domain (C2) đang được sử dụng trong các chiến dịch tấn công gần đây.
Electron Bot là một phần mềm độc hại, được sử dụng để gian lận việc nhấp chuột vào các link/ popup quảng cáo để đưa các bài viết lên top SEO trên mạng xã hội. Check Point cho biết: "Nó chủ yếu được phân phối thông qua nền tảng của Microsoft Store và chủ yếu là trò chơi, được những kẻ tấn công upload liên tục”.
Dấu hiệu đầu tiên là một chiến dịch click chuột vào quảng cáo được phát hiện vào tháng 10 năm 2018, với phần mềm độc hại ẩn nấp dưới dạng ứng dụng Google Photos. Kể từ đó, phần mềm độc hại có thể đã trải qua nhiều lần update để trang bị thêm các tính năng mới và khả năng “lẩn trốn”. Ngoài việc sử dụng framework Electron đa nền tảng, bot được thiết kế để tải các thông tin lấy từ máy chủ C2 tại thời điểm chạy, nên rất khó bị phát hiện. Điều này cho phép những kẻ tấn công sửa đổi các payloads của phần mềm và thay đổi hành vi của bot tại bất kỳ một thời điểm nào.
Chức năng chính của “Electron Bot” là mở một cửa sổ trình duyệt ẩn để thực hiện SEO, tạo nhấp chuột cho quảng cáo, hướng lưu lượng truy cập đến nội dung được lưu trữ trên YouTube và SoundCloud, đồng thời quảng cáo các sản phẩm cụ thể để tạo ra lợi nhuận bằng cách nhấp vào quảng cáo hoặc nâng xếp hạng cửa hàng cao hơn doanh số bán hàng. Hơn hết, nó còn đi kèm với các chức năng có thể kiểm soát các tài khoản mạng xã hội trên Facebook, Google và Sound Cloud, bao gồm đăng ký tài khoản mới, đăng nhập, cũng như bình luận, lượt thích để tăng lượt xem.
Chuỗi tấn công được kích hoạt khi người dùng tải xuống một trong các ứng dụng bị nhiễm mã độc (ví dụ: Temple Endless Runner 2) từ Microsoft Store. Khi khởi chạy, trò chơi cũng lén lút tải và cài đặt thông qua JavaScript. Do payload của bot được tải và hoạt động ở mỗi thời điểm chạy khác nhau, nên kẻ tấn công có thể sửa đổi code và thay đổi hành vi của bot, đính kèm mã độc như ransomware hoặc RAT mà nạn nhân không hề hay biết.
Danh sách các nhà xuất bản trò chơi, ứng dụng chứa phần mềm độc hại:
- Lupy games
- Crazy 4 games
- Jeuxjeuxkeux games
- Akshi games
- Goo Games
- Bizzon Case
Theo: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: