Ένα νέο κακόβουλο λογισμικό που διανέμεται ευρέως μέσω εφαρμογών παιχνιδιών στο επίσημο κατάστημα της Microsoft εντόπισε η Check Point Research.
Με την ονομασία Electron-bot, το κακόβουλο λογισμικό μπορεί να ελέγχει τους λογαριασμούς κοινωνικών μέσων των θυμάτων του, συμπεριλαμβανομένων των Facebook, Google και Sound Cloud. Το κακόβουλο λογισμικό μπορεί να εγγράφει νέους λογαριασμούς, να συνδέεται, να σχολιάζει και να κάνει “like” σε άλλες αναρτήσεις. Η CPR μετρά μέχρι στιγμής 5.000 θύματα σε 20 χώρες. Η CPR προτρέπει τους χρήστες να διαγράψουν αμέσως εφαρμογές από διαφορετικούς εκδότες.
Με την ονομασία Electron-bot από το CPR, οι πλήρεις δυνατότητες του κακόβουλου λογισμικού έχουν ως εξής:
- SEO poisoning, μια μέθοδος επίθεσης κατά την οποία οι εγκληματίες του κυβερνοχώρου δημιουργούν κακόβουλους ιστότοπους και χρησιμοποιούν τακτικές βελτιστοποίησης μηχανών αναζήτησης για να τους κάνουν να εμφανίζονται σε περίοπτη θέση στα αποτελέσματα αναζήτησης. Αυτή η μέθοδος χρησιμοποιείται επίσης ως πώληση ως υπηρεσία για την προώθηση της κατάταξης άλλων ιστότοπων.
- Ad Clicker, μια μόλυνση υπολογιστή που εκτελείται στο παρασκήνιο και συνδέεται συνεχώς με απομακρυσμένους ιστότοπους για να παράγει “κλικ” για διαφημίσεις, με αποτέλεσμα να κερδίζει οικονομικά από το πόσες φορές γίνεται κλικ σε μια διαφήμιση.
- Προώθηση λογαριασμών μέσων κοινωνικής δικτύωσης, όπως το YouTube και το SoundCloud, για να κατευθύνουν την κυκλοφορία σε συγκεκριμένο περιεχόμενο και να αυξήσουν τις προβολές και τα διαφημιστικά κλικ για τη δημιουργία κερδών.
- Προώθηση διαδικτυακών προϊόντων, για τη δημιουργία κερδών με κλικ σε διαφημίσεις ή αύξηση της βαθμολογίας του καταστήματος για υψηλότερες πωλήσεις.
Επιπλέον, καθώς το ωφέλιμο φορτίο του Electron-bot φορτώνεται δυναμικά, οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν το εγκατεστημένο κακόβουλο λογισμικό ως backdoor για να αποκτήσουν πλήρη έλεγχο στο μηχάνημα του θύματος.
Διανομή μέσω εφαρμογών παιχνιδιών στο Microsoft Store
Υπάρχουν δεκάδες μολυσμένες εφαρμογές στο κατάστημα της Microsoft. Δημοφιλή παιχνίδια όπως το “Temple Run” ή το “Subway Surfer” βρέθηκαν να είναι κακόβουλα. Η CPR εντόπισε αρκετούς κακόβουλους παρόχους παιχνιδιών, όπου όλες οι εφαρμογές κάτω από αυτούς τους παρόχους σχετίζονται με την κακόβουλη εκστρατεία:
- Lupy games
- Crazy 4 games
- Jeuxjeuxkeux games
- Akshi games
- Goo Games
- bizon case
Μέχρι στιγμής, η CPR έχει καταμετρήσει 5.000 σε 20 χώρες. Τα περισσότερα θύματα προέρχονται από τη Σουηδία, τις Βερμούδες, το Ισραήλ και την Ισπανία.
Πώς λειτουργεί το κακόβουλο λογισμικό
Η κακόβουλη καμπάνια λειτουργεί με τα ακόλουθα βήματα:
- Η επίθεση ξεκινά με την εγκατάσταση μιας εφαρμογής του Microsoft Store που προσποιείται ότι είναι νόμιμη.
- Μετά την εγκατάσταση, ο επιτιθέμενος κατεβάζει αρχεία και εκτελεί σενάρια
- Το κακόβουλο λογισμικό, το οποίο έχει μεταφορτωθεί, αποκτά ανθεκτικότητα στο μηχάνημα του θύματος, εκτελώντας επανειλημμένα διάφορες εντολές που αποστέλλονται από το C&C του επιτιθέμενου
Για να αποφευχθεί η ανίχνευση, τα περισσότερα από τα σενάρια που ελέγχουν το κακόβουλο λογισμικό φορτώνονται δυναμικά κατά την εκτέλεση από τους διακομιστές των επιτιθέμενων. Αυτό επιτρέπει στους επιτιθέμενους να τροποποιούν το ωφέλιμο φορτίο του κακόβουλου λογισμικού και να αλλάζουν τη συμπεριφορά των bots ανά πάσα στιγμή. Το κακόβουλο λογισμικό χρησιμοποιεί το πλαίσιο Electron για να μιμηθεί την ανθρώπινη συμπεριφορά περιήγησης και να παρακάμψει τις προστασίες ιστότοπων.
Υπάρχουν ενδείξεις ότι η εκστρατεία κακόβουλου λογισμικού ξεκίνησε από τη Βουλγαρία, όπως:
- Όλες οι παραλλαγές μεταξύ 2019 – 2022 μεταφορτώθηκαν σε δημόσιο αποθηκευτικό χώρο “mediafire.com” από τη Βουλγαρία.
- Ο λογαριασμός Sound Cloud και το κανάλι YouTube που προωθεί το bot είναι με το όνομα “Ivaylo Yordanov”, ένας δημοφιλής Βούλγαρος παλαιστής\ποδοσφαιριστής
- Η Βουλγαρία είναι η χώρα που προωθείται περισσότερο στον πηγαίο κώδικα
Η CPR ανέφερε στη Microsoft όλους τους εκδότες παιχνιδιών που εντοπίστηκαν και σχετίζονται με αυτή την εκστρατεία.
Latest News
Κλείνουμε το TikTok στις ΗΠΑ αν αποτύχουν οι νομικές ενέργειες, λέει η ByteDance
Αιτία οι αλγόριθμοι στους οποίους στηρίζεται το TikTok οι θεωρούνται βασικοί για το σύνολο των δραστηριοτήτων της ByteDance
Kέρδη 12 δισ. δολάρια για τη Meta στο πρώτο τρίμηνο
Ζούκερμπεργκ: Θα χρειαστούν χρόνια για να βγάλουμε λεφτά από τη γεννητική τεχνητή νοημοσύνη
Πάνω από 24.000 Ακαδημαϊκές Ταυτότητες «κατέβηκαν» στο Gov.gr Wallet
Συνολικά μέχρι σήμερα στο Gov.gr Wallet έχουν εκδοθεί και αποθηκευτεί 2.508.670 δελτία αστυνομικής ταυτότητας,
Η Αpple έχασε το στέμμα της στην Κίνα - Ποιες εταιρείες την ξεπέρασαν σε πωλήσεις
Οι προωθητικές ενέργειας της Apple με καλύτερες τιμές, κατά το πρώτο τρίμηνο, δεν μπόρεσαν να μετριάσουν τον αντίκτυπο του έντονου ανταγωνισμού
Το μεγάλο κόλπο των χάκερς – Ποιες χώρες κάνουν πειραματόζωα για τις επιθέσεις τους
Τι αποκαλύπτει έρευνα σχετικά με τη δράση συμμοριών σε «πεδία δοκιμών»
O CEO του TikTok περνά στην αντεπίθεση - «Δεν φεύγουμε από τις ΗΠΑ»
Η υπογραφή Μπάιντεν στο σχετικό νομοσχέδιο ουσιαστικά ορίζει προθεσμία για την πώληση στις 19 Ιανουαρίου - μία ημέρα πριν από τη λήξη της θητείας του
Η Microsoft μέσω AI κερδίζει μερίδια αγοράς και στο cloud
Τι αναμένεται να δείξουν τα οικονομικά αποτελέσματα των τεχνολογικών κολοσσών των ΗΠΑ
Η Qualcomm μπαίνει και επισήμως στα... χωράφια των Intel και AMD
Η Qualcomm θεωρεί τα X Elite και X Plus άκρως ανταγωνιστικά και απέναντι στα τσιπ M3 της Apple
Υπό ρυθμιστικό έλεγχο στη Βρετανία οι ΑΙ συνεργασίες Microsoft-Amazon
Η Αρχή Ανταγωνισμού και Αγορών της Βρετανίας ζητά από τα ενδιαφερόμενα τρίτα μέρη τις απόψεις τους σχετικά με τις μεγάλες συνεργασίες που συνήψαν η Microsoft και η Amazon με μικρότερες εταιρείες AI
myAUEB: Η νέα εφαρμογή για το κινητό από το ΟΠΑ
Η πρώτη ολοκληρωμένη εφαρμογή κινητού σε ελληνικό ΑΕΙ από το Οικονομικό Πανεπιστήμιο Αθηνών