【安全资讯】Electron Bot恶意软件通过微软商店的游戏程序分发

引言

研究人员检测到一种名为 Electron Bot 的新恶意软件，该软件已通过 Subway Surfer 和 Temple Run 等热门游戏进入微软官方商店，导致瑞典、保加利亚、俄罗斯、百慕大和西班牙的大约 5,000 台计算机受到感染。

简况

Electron Bot是一种模块化的 SEO 中毒恶意软件，用于社交媒体推广和点击欺诈。攻击者可以使用安装的恶意软件作为后门，以完全控制受感染的机器，Electron Bot支持远程命令执行和实时交互。

Electron Bot的活动于 2018 年底首次被发现，当时恶意软件作为一个名为“Album by Google Photos”的应用程序隐藏在微软商店中，声称由Google LLC 发布。从那时起，恶意软件作者在他们的工具中添加了一些新功能和高级检测规避功能，如动态脚本加载。该恶意软件是用 Electron 构建的，Electron 是一个使用 Web 脚本构建跨平台桌面应用程序的框架。

Electron Bot 的主要功能包括：

• SEO 中毒：创建在 Google 搜索结果中排名靠前的恶意软件投放网站。
• Ad Clicker：在后台连接到远程网站以产生广告“点击”的计算机感染。
• 社交媒体账户推广：将流量引至社交媒体平台上的特定内容。
• 在线产品推广：通过点击其广告来提高商店评级。

此外，该恶意软件的有效载荷包含控制 Facebook、Google 和 Sound Cloud 上的社交媒体帐户的功能。它可以注册新帐户、登录、评论和“喜欢”其他帖子。

Electron Bot感染链与大多数活动类似，从安装从 Microsoft Store 下载的受感染应用程序开始。当用户启动游戏时，攻击者的服务器会在后台动态加载一个 JavaScript 释放器，从而下载和安装恶意软件以及在启动文件夹上获得持久性。

该恶意软件在下次系统启动时启动，与 C&C 建立连接并接收具有一组功能函数的动态 JavaScript 有效负载。最后，C&C 发送包含要执行的命令的配置文件。感染链如下：

总结

多年来，随着攻击者向其武器库添加新功能和技术，Electron Bot 恶意软件不断发展。虽然现有版本的 Electron Bot 不会对受感染的机器造成灾难性损害，但攻击者可能修改代码以获取第二阶段的有效载荷，如 RAT 甚至勒索软件。