Electron-bot është një malware i ri që shpërndahet përmes aplikacioneve të lojërave në dyqanin zyrtar të Microsoft. Për të zbuluar Check Point Research, divizioni i Inteligjencës së Kërcënimeve të Check Point Software Technologies.
Malware mund të kontrollojë llogaritë e mediave sociale të viktimave të tij, të regjistrojë llogari të reja, të identifikohet, komentojë dhe të pëlqejë postimet e tjera dhe më shumë: pasi ngarkesa e Electron-bot ngarkohet automatikisht, hakerët mund të përdorin malware-in e instaluar si një derë të pasme për të fituar kontroll të plotë mbi pajisjen e viktimës.
CPR deri më tani ka regjistruar 5,000 vdekje në 20 vende – shumica nga Suedia, Bermuda, Izraeli dhe Spanja. CPR i ka raportuar Microsoft-it të gjithë botuesit e lojërave që janë të lidhur me këtë fushatë.
“Ka dhjetëra aplikacione të infektuara në Microsoft Store. Lojërat e njohura dhe historike si Temple Run ose Subway Surfer janë gjetur të infektuara,” tha kompania. CPR ka zbuluar disa botues keqdashës si lojërat Lupy, lojërat Crazy 4, lojërat Jeuxjeuxkeux, lojërat Akshi, Goo Games dhe rasti Bizon.
“Sulmi fillon me instalimin e një aplikacioni nga Microsoft Store, i cili nuk është autentik. Pas instalimit, hakeri shkarkon skedarët dhe ekzekuton skriptet. Më në fund, malware i shkarkuar gradualisht merr kontrollin e sistemit, duke ekzekutuar në mënyrë të përsëritur komanda të ndryshme. dërguar nga C&C e sulmuesit.”
“Për të shmangur zbulimin, shumica e skripteve që kontrollojnë për malware ngarkohen në kohën e ekzekutimit nga serverët e sulmuesit. Kjo i lejon hakerët të ndryshojnë ngarkesën e malware dhe të ndryshojnë sjelljen e robotëve në çdo kohë. Malware përdor kornizën Electron për të imituar sjelljen e përdoruesit gjatë shfletimit , duke shmangur kështu mbrojtjen e uebsajtit”.
Malware e kishte origjinën në Bullgari sipas rindërtimit të CPR: të gjitha variantet midis 2019 dhe 2022 të ngarkuara në ruajtjen publike të cloud “mediafire.com” vijnë nga Bullgaria. Llogaria SoundCloud dhe kanali YouTube që promovon roboti janë nën emrin e “Ivaylo Yordanov”, një mundës i njohur bullgar. Ka edhe një futbollist me të njëjtin emër dhe mbiemër. Bullgaria është vendi më i pranishëm në kodin burimor.
“Ky hulumtim analizoi një malware të ri, të quajtur Electron-Bot, i cili ka sulmuar më shumë se 5000 viktima në mbarë botën. Electron-Bot shkarkohet dhe përhapet lehtësisht nga dyqani zyrtar i Microsoft. Korniza Electron u jep aplikacioneve akses në të gjitha burimet e kompjuterit, duke përfshirë GPU-në. Meqenëse ngarkesa e bot-it ngarkohet automatikisht sa herë që ekzekutohet, hakerët mund të modifikojnë kodin dhe të ndryshojnë sjelljen e tij. Për shembull, ata mund të nisin një fazë të dytë dhe të lëshojnë malware të rinj si ransomware ose një RAT. Dhe e gjithë kjo mund të ndodhë pa vërejtja e viktimës. Shumica e njerëzve mendojnë se rishikimet në dyqanet e aplikacioneve mund të besohen dhe ata nuk hezitojnë të shkarkojnë. Është një rrezik i madh pasi nuk e dini kurrë se çfarë elemente të dëmshëm mund të shkarkoni.”
Discussion about this post