Wykryto malware w Microsoft Store – tak robi się fake newsy

25 lutego, 2022

W oficjalnym sklepie z aplikacjami na Windowsa (Microsoft Store) wykryto dziesiątki programów, w tym popularne gry komputerowe z zaszytym malware. Złośliwe oprogramowanie o nazwie Electron-bot potrafi przede wszystkim kontrolować́ konta ofiar w mediach społecznościowych. Do tej pory ofiarami padło 5000 użytkowników z 20 krajów.

wynik skanowania w VirusTotal
Wynik skanowania pliku w VirusTotal (wirus ukryty w instalatorze gry – ponad 120MB).

Dzięki informacjom od specjalistów ds. cyberbezpieczeństwa z Check Point Research udało się ustalić, że ofiarami są użytkownicy z dwudziestu krajów: Szwecji, Bermudów, Izraela, Hiszpanii, w tym z Polski i innych krajów europejskich.

W sklepie miały znajdować się dziesiątki zainfekowanych aplikacji, w tym popularne gry:  „Temple Run”, „Subway Surfer” pochodzące od sześciu wydawców.

Zaszyte w nich złośliwe oprogramowanie Electron-bot zdolne było do kontrolowania kont społecznościowych Facebook, Google oraz Sound Cloud, co sprzyjało powstawaniu tak zwanym fake newsom.

Szkodliwe pliki JavaScript
Biblioteki JavaScript ładowane do pamięci aplikacji podczas jej uruchamiania.

Fake news wśród możliwości malware’u

Analitycy wymieniają między innymi:

  • zatruwanie SEO, czyli metodę, w ramach której cyberprzestępcy tworzą złośliwe strony internetowe i wykorzystują taktyki optymalizacji w wyszukiwarkach, aby wyświetlać je w widocznym miejscu w wynikach wyszukiwania;
  • ad clicking, czyli generowanie kliknięć reklam,
  • promowanie kont w mediach społecznościowych oraz tworzenie fake newsów,
  • promowanie produktów online, aby np. generować zyski z reklam,
  • modyfikowanie kodu, by na przykład zainicjować kolejny drugi etap i pobierać nowe złośliwe oprogramowanie, takie jak ransomware lub RAT.
 

Co więcej, ponieważ ładunek Electron-bota jest dynamicznie ładowany, osoby atakujące mogą wykorzystać zainstalowane złośliwe oprogramowanie jako tylne drzwi w celu uzyskania pełnej kontroli nad komputerami ofiar.

Niestety, większość ludzi uważa, że można zaufać recenzjom sklepów z aplikacjami i nie wahają się pobrać stamtąd aplikacji. Ryzyko jednak istnieje, ponieważ nigdy nie wiadomo, jakie złośliwe elementy można pobierać – tłumaczy Daniel Alima, analityk złośliwego oprogramowania w Check Point Research.

wykrywanie antywirusów
Malware wykrywało kilka popularnych programów antywirusowych i nie uruchamiało się.

Badacze Check Pointa odkryli poszlaki świadczące o tym, że szkodliwe oprogramowanie może pochodzić z Bułgarii. Wszystkie warianty w latach 2019–2022 zostały przesłane do bułgarskiej chmury publicznej „mediafire.com”, a promowane konto Sound Cloud oraz kanał YouTube noszą nazwę „Ivaylo Yordanov” (to popularny bułgarski zapaśnik/piłkarz), natomiast kraj Bułgaria występuje w kodzie źródłowym.

schemat ataku
Schemat przejmowania kontroli nad komputerem, kontem społecznościowym itp.

Check Point Research zaznacza, że zgłosiło firmie Microsoft wszystkich wydawców gier powiązanych z kampanią. Zwykle jej autorzy postępowali w taki sposób:

  1. Atak rozpoczynał się od instalacji aplikacji ze sklepu Microsoft.
  2. Po instalacji atakujący pobiera pliki i uruchamia skrypty.
  3. Pobrane złośliwe oprogramowanie zaszywa się̨ na komputerze ofiary, wielokrotnie wykonując różne polecenia wysyłane od atakującego.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
4 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]