 |
| Imagem ilustrativa: divulgação Check Point Software |
O malware Electron-bot é capaz de controlar contas de mídia social podendo registrar novas contas, iniciar sessão, comentar e curtir posts
A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, identificou um novo malware que está sendo distribuído por meio de aplicativos da loja oficial da Microsoft. A CPR calculou 5 mil vítimas em 20 países até o momento; os pesquisadores orientam que os usuários excluam imediatamente os aplicativos de vários editores e produtoras.
O malware Electron-bot, denominação dada pela
equipe da CPR, consegue controlar contas de redes sociais das vítimas,
incluindo Facebook, Google e SoundCloud. O malware pode registar novas contas,
iniciar sessão, comentar e curtir posts.
O Electron-bot tem a capacidade de:
- “Envenenar” o SEO, um método de
ataque em que os cibercriminosos criam um site malicioso e utilizam a
tática de otimização do mecanismo de busca para que apareça nos resultados de pesquisa. Este método é também usado para vender outros serviços e promover outros sites.
- Ad Clicker, uma infecção do computador que é executada em segundo plano e se conecta constantemente a sites remotos para gerar “cliques” para anúncios, obtendo lucro financeiro com a quantidade de vezes que um anúncio é clicado.
- Promover contas de redes sociais, como o YouTube ou SoundCloud para redirecionar o tráfego para um conteúdo específico e aumentar as visualizações e cliques nos anúncios para gerar lucros.
- Promover produtos online, a fim de gerar lucros com cliques em anúncios ou aumentar a classificação da loja para mais vendas.
Além disso, o payload do
Electron-bot é carregado dinamicamente, o que significa que os atacantes podem
utilizar o já instalado malware como porta de entrada para obter o controle
total da máquina da vítima.
Distribuição via Aplicativos de Jogos
na Loja da Microsoft Store
Existem diversos aplicativos infectados
na loja da Microsoft. Jogos populares como “Temple Run” ou “Subway Surfer”
foram considerados maliciosos. A CPR detectou diversos editores e produtoras de
jogos maliciosos, em que todos os seus aplicativos estavam relacionados com a
campanha maliciosa do Electron-bot:
- Lupy games.
- Crazy 4 games.
- Jeuxjeuxkeux games
- Akshi games
- Goo Games
- bizon case
Vítimas
Até ao momento, a CPR verificou 5 mil
vítimas em 20 países; a maioria delas localizam-se na Suécia, Bermudas, Israel
e Espanha.
Como funciona o malware Electron-bot
A campanha do malware funciona a partir
dos seguintes passos:
1.O ataque começa com a instalação de
um aplicativo da Microsoft Store que parece ser legítimo.
2.Após a instalação, o atacante baixa
os arquivos e executa os scripts.
3.O malware, que já foi baixado,
persiste na máquina da vítima, executando repetidamente vários comandos
enviados pelo sistema C&C (Command&Control) do atacante.
Para evitar a detecção, a maioria dos scripts
que controla o malware é carregada dinamicamente pelo servidor dos atacantes.
Isso permite que eles modifiquem a carga útil (payload) do malware e
alterem o comportamento dos bots a qualquer momento. O malware utiliza a
estrutura Electron-bot para imitar o comportamento de navegação de uma pessoa e
evitar as proteções do site.
Atribuição
Há evidências de que a campanha de
malware se originou na Bulgária, incluindo:
- Todas as variantes entre 2019-2022 foram enviadas para uma
conta de nuvem pública “mediafire﹒com” da Bulgária;
- A conta de SoundCloud e a do canal de YouTube que o bot promove
estão sobre o mesmo nome, “Ivaylo Yordanov”, um famoso jogador de futebol e lutador da modalidade wrestling búlgaro;
- A Bulgária é o país mais promovido no código-fonte.
Conclusão
A equipe da CPR relatou à Microsoft
todos os editores de jogos detectados relacionados a esta campanha.
“Esta investigação analisou um novo
malware chamado Electron-Bot que tem atacado mais de 5 mil vítimas globalmente.
O Electron-Bot é baixado e facilmente disseminado por meio de aplicativo
oficial da Microsoft. A estrutura Electron fornece aos aplicativos Electron
acesso a todos os recursos do computador, incluindo computação GPU (Graphics
Processing Unit). Como a carga útil do bot é carregada dinamicamente a cada
tempo de execução, os atacantes podem modificar o código e alterar o
comportamento do bot para alto risco”, diz Daniel Alima, analista de malware da
Check Point Research (CPR).
“Por exemplo, eles podem inicializar
outro segundo estágio e descartar um novo malware, como um ransomware ou um
RAT. Tudo isso pode acontecer sem o conhecimento da vítima. A maioria das
pessoas pensa que se pode confiar nas avaliações da loja de aplicativos e não
hesita em baixar um aplicativo a partir da loja. Há um grande risco nisso, pois
nunca se sabe quais itens maliciosos os usuários podem estar baixando”, explica
Alima.
Dicas de Segurança
Para o usuário se manter o mais seguro
possível, orientamos seguir as dicas abaixo antes de baixar um aplicativo da
App Store:
- Evitar descarregar um aplicativo com poucas avaliações.
- Procurar por aplicativos com avaliações boas, consistentes e
de confiança.
- Prestar atenção aos nomes dos aplicativos que podem não ser iguais ao nome original.
Check Point Research
Check Point Software Technologies Ltd.
Nenhum comentário:
Postar um comentário