Il malware Electron-bot ha preso di mira l’app store di Microsoft: ecco i giochi colpiti

Another ICT Guy

Il malware Electron-bot ha preso di mira l’app store di Microsoft: ecco i giochi colpiti

Electron-bot è un nuovo malware che viene distribuito attraverso le app di gaming sullo store ufficiale di Microsoft. A scoprirlo Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies.

Il malware può controllare gli account dei social media delle sue vittime, registrare nuovi account, accedere, commentare e mettere Like ad altri post e non solo: siccome il payload di Electron-bot viene caricato automaticamente, gli hacker possono usare il malware installato come backdoor per ottenere il pieno controllo sul device della vittima.

Finora CPR ha registrato 5.000 vittime in 20 Paesi – la maggior parte provenienti dalla Svezia, dalle Bermuda, da Israele e dalla Spagna. CPR ha segnalato a Microsoft tutti i game publisher che sono collegati a questa campagna.

Ci sono decine di applicazioni infette nel Microsoft Store. Giochi popolari e storici come Temple Run o Subway Surfer sono stati trovati infetti”, fa sapere l’azienda. CPR ha rilevato diversi publisher malevoli come Lupy games, Crazy 4 games, Jeuxjeuxkeux games, Akshi games, Goo Games e Bizon case.

“L’attacco inizia con l‘installazione di un’app del Microsoft Store, la quale non è autentica. Dopo l’installazione, l’hacker scarica i file ed esegue gli script. Infine, il malware scaricato prende man mano il controllo del sistema, eseguendo ripetutamente vari comandi inviati dal C&C dell’aggressore”.

“Per evitare il rilevamento, la maggior parte degli script che controllano il malware sono caricati in fase di esecuzione dai server degli aggressori. Questo permette agli hacker di modificare il payload del malware e cambiare il comportamento dei bot in qualsiasi momento. Il malware utilizza il framework Electron per imitare il comportamento dell’utente durante la navigazione, evitando così le protezioni dei siti web”.

Il malware è nato in Bulgaria secondo la ricostruzione di CPR: tutte le varianti tra il 2019 e il 2022 caricate sul cloud storage pubblico “mediafire.com” provengono dalla Bulgaria. L’account SoundCloud e il canale YouTube che il bot promuove sono sotto il nome di “Ivaylo Yordanov”, un popolare wrestler bulgaro. C’è anche un calciatore con lo stesso nome e cognome. La Bulgaria è il Paese più presente nel codice sorgente.

“Questa ricerca ha analizzato un nuovo malware, chiamato Electron-Bot, che ha attaccato più di 5000 vittime a livello globale. Electron-Bot viene scaricato e si diffonde facilmente dallo store ufficiale di Microsoft. Il framework Electron fornisce alle app l’accesso a tutte le risorse del computer, inclusa la GPU. Dato che il payload del bot viene caricato in automatico ogni volta che viene eseguito, gli hacker possono modificare il codice e cambiarne il comportamento. Per esempio, possono avviare una seconda fase e rilasciare un nuovo malware come un ransomware o un RAT. E tutto questo può accadere senza che la vittima se ne accorga. La maggior parte delle persone pensa che ci si possa fidare delle recensioni negli app store, e non esitano a fare un download. È un grande rischio poiché non si sa mai quali elementi dannosi si possono scaricare”.

Fonte: http://feeds.hwupgrade.it/

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.