A Check Point identificou um novo malware que está sendo distribuído por meio de aplicativos da loja oficial da Microsoft. A CPR calculou 5 mil vítimas em 20 países até o momento; os pesquisadores orientam que os usuários excluam imediatamente os aplicativos de vários editores e produtoras.
O malware Electron-bot, denominação dada pela equipe da CPR, consegue controlar contas de redes sociais das vítimas, incluindo Facebook, Google e SoundCloud. O malware pode registar novas contas, iniciar sessão, comentar e curtir posts.
O Electron-bot tem a capacidade de:
• “Envenenar” o SEO, um método de ataque em que os cibercriminosos criam um site malicioso e utilizam a tática de otimização do mecanismo de busca para que apareça nos resultados de pesquisa. Este método é também usado para vender outros serviços e promover outros sites.
• Ad Clicker, uma infecção do computador que é executada em segundo plano e se conecta constantemente a sites remotos para gerar “cliques” para anúncios, obtendo lucro financeiro com a quantidade de vezes que um anúncio é clicado.
• Promover contas de redes sociais, como o YouTube ou SoundCloud para redirecionar o tráfego para um conteúdo específico e aumentar as visualizações e cliques nos anúncios para gerar lucros.
• Promover produtos online, a fim de gerar lucros com cliques em anúncios ou aumentar a classificação da loja para mais vendas.
Além disso, o payload do Electron-bot é carregado dinamicamente, o que significa que os atacantes podem utilizar o já instalado malware como porta de entrada para obter o controle total da máquina da vítima.
Distribuição via Aplicativos de Jogos na Loja da Microsoft Store
Existem diversos aplicativos infectados na loja da Microsoft. Jogos populares como “Temple Run” ou “Subway Surfer” foram considerados maliciosos. A CPR detectou diversos editores e produtoras de jogos maliciosos, em que todos os seus aplicativos estavam relacionados com a campanha maliciosa do Electron-bot:
• Lupy games;
• Crazy 4 games;
• Jeuxjeuxkeux games;
• Akshi games;
• Goo Games;
• bizon case.
Vítimas
Até ao momento, a CPR verificou 5 mil vítimas em 20 países; a maioria delas localizam-se na Suécia, Bermudas, Israel e Espanha.
Como funciona o malware Electron-bot
A campanha do malware funciona a partir dos seguintes passos:
1) O ataque começa com a instalação de um aplicativo da Microsoft Store que parece ser legítimo.
2) Após a instalação, o atacante baixa os arquivos e executa os scripts.
3) O malware, que já foi baixado, persiste na máquina da vítima, executando repetidamente vários comandos enviados pelo sistema C&C (Command&Control) do atacante.
Para evitar a detecção, a maioria dos scripts que controla o malware é carregada dinamicamente pelo servidor dos atacantes. Isso permite que eles modifiquem a carga útil (payload) do malware e alterem o comportamento dos bots a qualquer momento. O malware utiliza a estrutura Electron-bot para imitar o comportamento de navegação de uma pessoa e evitar as proteções do site.
Atribuição
Há evidências de que a campanha de malware se originou na Bulgária, incluindo:
• Todas as variantes entre 2019-2022 foram enviadas para uma conta de nuvem pública “mediafire﹒com” da Bulgária;
• A conta de SoundCloud e a do canal de YouTube que o bot promove estão sobre o mesmo nome, “Ivaylo Yordanov”, um famoso jogador de futebol e lutador da modalidade wrestling búlgaro;
• A Bulgária é o país mais promovido no código-fonte.
Conclusão
A equipe da CPR relatou à Microsoft todos os editores de jogos detectados relacionados a esta campanha.
“Esta investigação analisou um novo malware chamado Electron-Bot que tem atacado mais de 5 mil vítimas globalmente. O Electron-Bot é baixado e facilmente disseminado por meio de aplicativo oficial da Microsoft. A estrutura Electron fornece aos aplicativos Electron acesso a todos os recursos do computador, incluindo computação GPU (Graphics Processing Unit). Como a carga útil do bot é carregada dinamicamente a cada tempo de execução, os atacantes podem modificar o código e alterar o comportamento do bot para alto risco”, diz Daniel Alima, analista de malware da Check Point Research (CPR).
“Por exemplo, eles podem inicializar outro segundo estágio e descartar um novo malware, como um ransomware ou um RAT. Tudo isso pode acontecer sem o conhecimento da vítima. A maioria das pessoas pensa que se pode confiar nas avaliações da loja de aplicativos e não hesita em baixar um aplicativo a partir da loja. Há um grande risco nisso, pois nunca se sabe quais itens maliciosos os usuários podem estar baixando”, explica Alima.
Dicas de Segurança
Para o usuário se manter o mais seguro possível, orientamos seguir as dicas abaixo antes de baixar um aplicativo da App Store:
1) Evitar descarregar um aplicativo com poucas avaliações.
2) Procurar por aplicativos com avaliações boas, consistentes e de confiança.
3) Prestar atenção aos nomes dos aplicativos que podem não ser iguais ao nome original.