Phát hiện phần mềm độc hại lây nhiễm qua các ứng dụng trò chơi trên Microsoft Store

tathoa0607

tathoa0607

Moderator
Thành viên BQT
14/01/2021
19
81 bài viết
Phát hiện phần mềm độc hại lây nhiễm qua các ứng dụng trò chơi trên Microsoft Store
tathoa0607
Một phần mềm độc hại mới có khả năng kiểm soát các tài khoản mạng xã hội đang được phân phối thông qua Microsoft Store dưới dạng các ứng dụng trò chơi bị nhiễm trojan, lây nhiễm cho hơn 5.000 máy Windows ở Thụy Điển, Bulgaria, Nga, Bermuda và Tây Ban Nha.

1646037003530.png

Công ty an ninh mạng Check Point của Israel đã đặt tên cho phần mềm độc hại này là "Electron Bot", liên quan đến command and control domain (C2) đang được sử dụng trong các chiến dịch tấn công gần đây.

Electron Bot là một phần mềm độc hại, được sử dụng để gian lận việc nhấp chuột vào các link/ popup quảng cáo để đưa các bài viết lên top SEO trên mạng xã hội. Check Point cho biết: "Nó chủ yếu được phân phối thông qua nền tảng của Microsoft Store và chủ yếu là trò chơi, được những kẻ tấn công upload liên tục”.

m8IdJ6ZXbkfaUa5E0uUijg3lXxkEQDCbzI-ysoi2fllXdhqZR1p5Af0jnr2BV0QweQmzpZgE71dPVfXtoDjhpDhhZIjl4o4RyM3TMCQPk4vXTmMaP7xdePyV56kXAc-sbKKsU4HI

Dấu hiệu đầu tiên là một chiến dịch click chuột vào quảng cáo được phát hiện vào tháng 10 năm 2018, với phần mềm độc hại ẩn nấp dưới dạng ứng dụng Google Photos. Kể từ đó, phần mềm độc hại có thể đã trải qua nhiều lần update để trang bị thêm các tính năng mới và khả năng “lẩn trốn”. Ngoài việc sử dụng framework Electron đa nền tảng, bot được thiết kế để tải các thông tin lấy từ máy chủ C2 tại thời điểm chạy, nên rất khó bị phát hiện. Điều này cho phép những kẻ tấn công sửa đổi các payloads của phần mềm và thay đổi hành vi của bot tại bất kỳ một thời điểm nào.

Chức năng chính của “Electron Bot” là mở một cửa sổ trình duyệt ẩn để thực hiện SEO, tạo nhấp chuột cho quảng cáo, hướng lưu lượng truy cập đến nội dung được lưu trữ trên YouTube và SoundCloud, đồng thời quảng cáo các sản phẩm cụ thể để tạo ra lợi nhuận bằng cách nhấp vào quảng cáo hoặc nâng xếp hạng cửa hàng cao hơn doanh số bán hàng. Hơn hết, nó còn đi kèm với các chức năng có thể kiểm soát các tài khoản mạng xã hội trên Facebook, Google và Sound Cloud, bao gồm đăng ký tài khoản mới, đăng nhập, cũng như bình luận, lượt thích để tăng lượt xem.

TES3iouiJfUGYzP9K765kPzJqNvA52dE_QXs_Tdnb4VlCCJPUcOQQPS71d6TQf5kOQEeYDML7gc9eFSvqVDR1FeU9U57tpRGvMfjHe0u1815_z6SRh4z6SjDMOaqQWrrOH4hv2Rh

Chuỗi tấn công được kích hoạt khi người dùng tải xuống một trong các ứng dụng bị nhiễm mã độc (ví dụ: Temple Endless Runner 2) từ Microsoft Store. Khi khởi chạy, trò chơi cũng lén lút tải và cài đặt thông qua JavaScript. Do payload của bot được tải và hoạt động ở mỗi thời điểm chạy khác nhau, nên kẻ tấn công có thể sửa đổi code và thay đổi hành vi của bot, đính kèm mã độc như ransomware hoặc RAT mà nạn nhân không hề hay biết.

Danh sách các nhà xuất bản trò chơi, ứng dụng chứa phần mềm độc hại:
  • Lupy games
  • Crazy 4 games
  • Jeuxjeuxkeux games
  • Akshi games
  • Goo Games
  • Bizzon Case

 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Phát hiện các lỗ hổng trong Windows có thể bị khai thác như rootkit
  • Phát hiện các lỗ hổng cho phép truy cập root trong Smart TV của LG
  • VMware phát hành bản vá cho nhiều lỗ hổng nghiêm trọng trong giải pháp SD-WAN
  • Synology phát hành bản vá cho các lỗ hổng nghiêm trọng trong phần mềm Surveillance Station
  • Atlassian phát hành bản vá cho lỗ hổng có điểm CVSS 10
  • Apple phát hành bản vá khẩn cấp cho các zero-day đang bị khai thác
    • Thẻ
    electron bot ransomware rat social media hijacking malware
    Bên trên