微軟應(yīng)用商店現(xiàn)“克隆”游戲,內(nèi)涵惡意程序Electron Bot
據(jù)Bleeping Computer網(wǎng)站消息,一種名為 Electron Bot 的惡意程序已通過(guò)克隆《地鐵跑酷》(Subway Surfer) 和《神廟逃亡》(Temple Run) 等流行游戲進(jìn)入微軟官方商店,導(dǎo)致瑞典、以色列、西班牙和百慕大地區(qū)約 5,000 臺(tái)計(jì)算機(jī)受到感染。
網(wǎng)絡(luò)情報(bào)公司Check Point發(fā)現(xiàn)并分析了這一惡意軟件,該軟件能讓攻擊者完全控制受感染的設(shè)備,并支持遠(yuǎn)程命令執(zhí)行和實(shí)時(shí)交互。攻擊者的主要目的是通過(guò)控制 Facebook、Google、YouTube 和 Sound Cloud 上的社交媒體賬戶來(lái)實(shí)現(xiàn)社交媒體推廣和點(diǎn)擊欺詐。
歷時(shí)三年的進(jìn)化
Electron Bot的蹤跡最早于2018年被發(fā)現(xiàn),當(dāng)時(shí)微軟商店內(nèi)出現(xiàn)了攻擊者制作的相冊(cè)應(yīng)用Google Photos,從那時(shí)起,他們?cè)诠ぞ咧刑砑恿艘恍┬鹿δ埽绺呒?jí)檢測(cè)規(guī)避、動(dòng)態(tài)腳本加載。
由于是用 Electron 編寫(xiě),故Electron Bot因此得名,它可通過(guò)模擬如同自然人的瀏覽行為訪問(wèn)網(wǎng)站并執(zhí)行相關(guān)操作。為此,它使用Electron框架中的Chromium引擎打開(kāi)一個(gè)新的隱藏瀏覽器窗口,設(shè)置適當(dāng)?shù)腍TTP標(biāo)頭,展示請(qǐng)求的HTML頁(yè)面,最后執(zhí)行鼠標(biāo)移動(dòng)、滾動(dòng)、點(diǎn)擊和鍵盤(pán)輸入。
在Check Point研究人員對(duì)其活動(dòng)進(jìn)行分析時(shí),發(fā)現(xiàn)Electron Bot主要活動(dòng)目的在于:
SEO 中毒 – 創(chuàng)建在 Google 搜索結(jié)果中排名靠前的惡意軟件投放網(wǎng)站;
廣告點(diǎn)擊——在后臺(tái)連接到遠(yuǎn)程站點(diǎn)并點(diǎn)擊不可查看的廣告;
社交媒體賬戶推廣 - 將流量引向社交媒體平臺(tái)上的特定內(nèi)容。
在線產(chǎn)品促銷(xiāo)——通過(guò)點(diǎn)擊其廣告來(lái)提高商店評(píng)級(jí)。
由此可見(jiàn),Electron Bot是以中間商的身份,向那些企圖增加非法利潤(rùn)的人提供相應(yīng)功能及服務(wù),并從中賺取收益。
感染連
感染鏈開(kāi)始于受害者從微軟商店中安裝已被克隆的游戲軟件,在啟動(dòng)時(shí),后臺(tái)會(huì)動(dòng)態(tài)加載一個(gè)JavaScript滴管,以獲取Electron Bot的有效載荷并進(jìn)行安裝。惡意軟件會(huì)在系統(tǒng)下一次啟動(dòng)時(shí)運(yùn)行,并連接到 C2,檢索其配置并執(zhí)行攻擊者的任意命令。由于主要的腳本在運(yùn)行時(shí)動(dòng)態(tài)加載,存儲(chǔ)在設(shè)備內(nèi)存中的JS文件非常小,看起來(lái)也很無(wú)害。
不僅僅是一個(gè)游戲
Check Point發(fā)現(xiàn)所有克隆游戲都具有上述的惡意功能,由于這些操作都在“幕后”進(jìn)行,隱蔽性較高,導(dǎo)致這些游戲擁有了較為良好的用戶評(píng)價(jià),比如2021年9月6日發(fā)布的《神廟無(wú)盡逃亡2》(Temple Endless Runner 2),在92條評(píng)價(jià)中收獲了大量的五星好評(píng)。當(dāng)然,攻擊者們不斷刷新他們的誘餌,使用不同的游戲標(biāo)題及應(yīng)用,將惡意軟件的有效載荷傳遞給毫無(wú)戒心的受害者。
雖然現(xiàn)有版本的 Electron Bot 不會(huì)對(duì)受感染的設(shè)備造成災(zāi)難性損害,但攻擊者可能修改代碼以獲取第二階段的有效載荷,如 RAT甚至勒索軟件。
Check Point 建議 Windows 用戶避免下載評(píng)論數(shù)過(guò)低的軟件,并仔細(xì)檢查開(kāi)發(fā)者或發(fā)布者的詳細(xì)信息,確保名稱(chēng)正確且沒(méi)有拼寫(xiě)錯(cuò)誤。
浙公網(wǎng)安備 33010602011771號(hào)