Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

Novo Malware Infeta Mais de 5000 Máquinas Através de Aplicações de Jogos Da Loja Microsoft

Novo Malware Infeta Mais de 5000 Máquinas Através de Aplicações de Jogos Da Loja Microsoft
Share it:
O novo malware é capaz de controlar as redes sociais e está a ser espalhado através de aplicações presentes na loja oficial da Microsoft
Novo Malware Infeta Mais de 5000 Máquinas Através de Aplicações de Jogos Da Loja Microsoft
A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), identificou um novo malware que tem estado a ser distribuído através de aplicações da loja oficial da Microsoft. A CPR já contou 5000 mil vítimas em 20 países. O malware dá pelo nome de Electron-bot e consegue controlar contas de redes sociais das vítimas, incluindo Facebook, Google e Sound Cloud. O malware pode registar novas contas, iniciar sessão, comentar e gostar de posts.

O chamado, pela CPR, Electron-bot tem a capaciadade para fazer o seguinte:

Envenenamento do SEO, um método de ataque em que os cibercriminosos criam um website malicioso e utilizam a tática de otimização do motor de pesquisa para que apareça nos resultados de pesquisa. Este método é também usado para vender outros serviços e promover outros websites
  • Ad Clicker, uma infeção do computador que corre no background e que o conecta constantemente a websites remotos para gerar ‘clicks’ para publicidade, lucrando financeiramente pela quantidade de vezes que um anúncio tem um clique
  • Promover contas de redes sociais, como o Youtube ou Sound Cloud para redirecionar o tráfego para um conteúdo específico e aumentar as visualizações e carregar nos anúncios para gerar lucro.
  • Promover produtos online, para gerar lucro ao clicar nos anúncios ou aumentar o rating da loja para mais vendas.
  • Além disso, o payload do Electron-bot é carregado dinamicamente, o que significa que os atacantes podem utilizar o já instalado malware como porta de entrada para ganhar o controlo total da máquina da vítima.

Distribuição via Aplicações de Jogos na Loja da Microsoft Store

Existem diversas aplicações infetadas na loja da Microsoft. Jogos populares como “Temple Run” ou “Subway Surfer” foram considerados maliciosos. A CPR detetou diversas produtoras cujos jogos e aplicações estavam relacionados com a campanha maliciosa:
  • Lupy games.
  • Crazy 4 games.
  • Jeuxjeuxkeux games
  • Akshi games
  • Goo Games
  • bizon case

Vítimas

Até ao momento, a CPR contou 5,000 vítimas em 20 países diferentes. A maioria das vítimas são da Suécia, Bermudas, Israel e Espanha

Como funciona o Malware

A campanha de malware funciona a partir dos seguintes passos:
  1. O ataque começa com a instalação de uma aplicação da Microsoft Store que parece ser legítima
  2. Depois da instalação, o atacante descarrega ficheiros e executa scripts
  3. O malware, que já foi descarregado, persiste na máquina da vítima, executando repetidamente diversos comandos enviados pelo sistema Command&Control dos atacantes
Para evitar deteção, a maioria dos scripts que controla o malware são carregados dinamicamente pelo servidor dos atacantes. Isto permite que os atacantes modifiquem o payload do malware e que mudem o comportamento dos bots a qualquer momento. O malware utiliza a estrutura do Electron-bot para imitar o comportamento de pesquisa de um humano e fugir à proteção de websites.

Atribuição

Há evidências de que a campanha de malware tem origem na Bulgária:
  • Todas as variantes entre 2019-2022 foram enviadas para uma conta de cloud pública “mediafire.com” da Bulgária
  • A conta de Sound Cloud e a do canal de Youtube que o bot promove estão sobre o mesmo nome, “Ivaylo Yordanov”, um jogador de futebol\wrestler famoso búlgaro
  • A Bulgária é o país mais promovido no código de fonte
Conclusão

A CPR reportou à Microsoft todos as criadoras de jogos que estão relacionados com esta campanha

“Esta investigação analisou um novo malware chamado Electron-Bot que tem atacado mais de 5000 vítimas globalmente. O Electron-Bot é descarregado e facilmente espalhado através da aplicação oficial da Microsoft. A estrutura do Electron fornece às aplicações Electron acesso a todos os recursos do computador, incluindo computação GPU. Como o payload é descarregado dinamicamente de todas as vezes que é corrido, o atacante pode modificar o código e mudar o comportamento do bot para algo danoso,” começa por dizer Daniel Alima, Malware Analyst at Check Point Research. “Por exemplo, eles conseguem dar início a uma segunda fase do ataque e descarregar um novo malware como um ransomware ou um RAT. Tudo isto pode acontecer sem o conhecimento da vítima. A maioria das pessoas pensa que se pode confiar numa review na loja de aplicações e não hesitam em fazer download da aplicação a partir daí. Há um grande risco nisso, sendo que nunca se sabe que item malicioso podemos estar a descarregar,” termina o responsável.

Dicas de Segurança

Para nos mantermos o mais seguros possível, antes de descarregar uma aplicação tenha em atenção os seguintes conselhos:
  1. Evite descarregar uma aplicação com poucas reviews
  2. Procure por aplicações com reviews, boas, consistentes e de confiança
  3. Preste atenção aos nomes das aplicações que podem não ser iguais ao nome original
Share it:

info

Post A Comment:

0 comments: