近日,瑞典、保加利、俄罗斯、百慕大和西班牙的5000多台Windows设备被一种能够控制社交媒体帐户的新恶意软件感染,它主要通过微软的应用商店以计算机木马游戏应用程序的形式入侵。
这种新型恶意软件是一种典型的网络病毒,它以隐蔽的方式进入到目标设备,对目标设备中的私密信息进行收集和破坏,再通过互联网,把收集到的私密信息反馈给攻击者,从而实现其目的。
以色列网络安全公司Check Point将这恶意软件称为"Electron Bot",目前攻击者的身份尚不清楚,但有证据表明他们可能来自保加利亚。
Check Point的Moshe Marelus在本周发布的一份报告中表示:“Electron Bot是一种模块化的SEO毒害恶意软件,用于社交媒体推广和点击欺诈,它主要通过微软商店平台传播,并在数十个受感染的应用程序中散播,这些应用程序由攻击者不断传播。“
2018年10月第一次发现该恶意软件活动迹象始于广告点击器活动,恶意软件假装自己是Google相册的一部分,但实际上是一个广告点击器,可以反复打开Windows 10中的隐藏广告。
往后几年,该恶意软件经历了多次更新,开创并提供了新功能和规避功能。除了使用跨平台Electron框架之外,该恶意软件还可以在运行时加载从C2服务器获取的有效负载,使其难以被发现。
Marelus解释说:"这使得攻击者能够在任何时间修改恶意软件并控制修改你的电脑"。
Electron Bot的主要功能是打开一个隐藏的浏览器窗口,以感染SEO,产生广告点击量,将流量引导到YouTube视频网站和SoundCloud语音录制托管的内容页面,并推广特定产品提高广告点击量、提升商店评级以获得更高的销售额,从中赚取利润。
最重要的是,它还具有可以控制Facebook,Google和Sound Cloud上的社交媒体帐户的功能,包括注册新帐户,登录、评论和点赞其他帖子以增加观看次数。
在此过程中,在木马程序继续获取实际的恶意软件之前,可以利用来自卡巴斯基实验室、ESET、诺顿安全、WebrootSophos和F-Secure等公司的软件采取一些步骤来识别潜在威胁检测软件。
推送带有恶意软件的应用程序的游戏发行商列表如下:
- Lupy游戏
- 疯狂4游戏
- Jeuxjeuxkeux 游戏
- 阿克什游戏
- GOO游戏
- Bizzon Case
Marelus指出:“由于在每次运行时恶意软件的有效负载都是动态加载的,攻击者可以修改代码并将恶意软件的行为更改为高风险,例如,他们可以初始化并释放新的恶意软件,如勒索软件或RAT。所有这些都可以在受害者不知情的情况下发生。“
参考来源:https://thehackernews.com/2022/02/social-media-hijacking-malware.html
