Electron-bot: il malware all'attacco del Microsoft store

Sebbene il download diretto dal Microsoft Store di Windows, così come quello da qualsiasi altro store ufficiale di app, sia garanzia, almeno nella maggior parte dei casi, di sicurezza e attendibilità dei contenuti scaricati, nel corso delle ultime ore è stato individuato un nuovo malware che viene distribuito tramite le applicazioni di gaming. Si tratta di Electron-bot e una volta entrato in azione può andare ad agire sui social media delle vittime, controllandone gli account, registrando nuovi profili e accedendo, commentando e mettendo like ad altri post.

Electron-bot: viene distribuito con i giochi e ha registrato 5.000 vittime in 20 Paesi

I giochi interessati sono appartenenti a diversi Web publisher, come Lupy games, Crazy 4 games, Jeuxjeuxkeux games, Akshi games, Goo Games e Bizon case, tra i quali rientrano pure titoli come Temple Run e Subway Surfer.

A rendere nota la cosa è stato il team di Check Point Research (CPR), il quale ha segnalato che al momento il malware ha registrato circa 5.000 vittime in 20 Paesi, la maggior parte provenienti dalla Svezia, dalle Bermuda, da Israele e dalla Spagna.

Considerando che è in Bulgaria il paese in cui è presente la maggior parte del codice sorgente e che l’account Sound Cloud e il canale YouTube promossi dal bot sono sotto il nome di Ivaylo Yordanow, wrestler e calciatore bulgaro, si ipotizza che il malware sia stato creato lì.

Come anticipato, Electron-bot ha diverse “doti”, ovvero:

• SEO poisoning – è un metodo con il quale i criminali informatici creano siti web dannosi e usano tattiche di ottimizzazione nei motori di ricerca per mostrarli tra i primi risultati di ricerca. Viene usato pure nelle vendite come servizio per promuovere il ranking di altri siti.
• Ad Clicker – è un’infezione del computer che funziona in background e si connette in maniera costante ai siti Web per generare clic per l’adv, traendo quindi profitto dal numero di clic ricevuti dall’annuncio.
• Promuovere gli account social – serve a dirigere il traffico verso contenuti specifici e aumentare le view e i clic sugli annunci, generando in tal modo profitti.
• Promuovere prodotti online – serve a generare profitti con clic sugli annunci oppure ad aumentare la valutazione dello store per incrementare le vendite.

Dal momento che il payload di Electron-bot viene caricato in modo automatico, i cybercriminali possono utilizzare il malware installato come backdoor per ottenere il pieno controllo sul dispositivo della vittima. Dopo l’installazione, infatti, i cybercrminali scaricano i file ed eseguono gli script e poco alla volta il malware prende il controllo del sistema, eseguendo ripetutamente vari comandi inviati dall’aggressore.

Per evitare il rilevamento, la maggior parte degli script che controllano il malware sono caricati in fase di esecuzione dai server degli aggressori. Inoltre, come deducibile dallo stesso nome, Electron-bot usa il framework Electron per andare ad imitare il comportamento dell’utente durante la navigazione ed evitare cos’ le protezioni dei siti.