Malware bernama Electron Bot telah menemukan jalannya ke Toko Resmi
Microsoft melalui tiruan permainan populer seperti Subway Surfer dan Temple
Run, yang menyebabkan infeksi pada sekitar 5.000 komputer di Swedia, Israel,
Spanyol, dan Bermuda.
Malware, yang ditemukan dan dianalisis oleh perusahaan intelijen siber Check Point, adalah backdoor yang memberi musuh kendali penuh terhadap sistem/mesin yang disusupi, mendukung eksekusi perintah jarak jauh dan interaksi real-time.
Sasaran para pelaku ancaman adalah promosi media sosial dan penipuan klik, yang mereka capai dengan mengendalikan akun media sosial di Facebook, Google, YouTube, dan Sound Cloud, karena Electron Bot mendukung pendaftaran akun baru, berkomentar, dan menyukai platform ini.
Malware, yang ditemukan dan dianalisis oleh perusahaan intelijen siber Check Point, adalah backdoor yang memberi musuh kendali penuh terhadap sistem/mesin yang disusupi, mendukung eksekusi perintah jarak jauh dan interaksi real-time.
Sasaran para pelaku ancaman adalah promosi media sosial dan penipuan klik, yang mereka capai dengan mengendalikan akun media sosial di Facebook, Google, YouTube, dan Sound Cloud, karena Electron Bot mendukung pendaftaran akun baru, berkomentar, dan menyukai platform ini.
Tiga tahun evolusi
Operasi ini pertama kali ditemukan pada akhir 2018 ketika varian Bot
Elektron awal dikirimkan ke Microsoft Store sebagai "Album oleh Foto
Google," diterbitkan oleh entitas Google LLC palsu.
Sejak itu, pembuat malware telah menambahkan beberapa fitur baru ke alat mereka dan kemampuan penghindaran deteksi lanjutan seperti pemuatan skrip dinamis.
Malware ini ditulis dalam Electron, sesuai dengan namanya, dan dapat meniru perilaku browsing dan melakukan tindakan seolah-olah itu adalah pengunjung situs web yang sebenarnya.
Untuk ini, ia membuka jendela browser tersembunyi baru menggunakan mesin Chromium dalam kerangka Electron, menetapkan header HTTP yang sesuai, merender halaman HTML yang diminta, dan akhirnya melakukan gerakan mouse, menggulir, mengklik, dan mengetik keyboard.
Tujuan utama Electron Bot yang dianalisis oleh para peneliti Check Point adalah:
1. SEO Poisoning – Buat situs yang menerjunkan malware berperingkat tinggi di hasil Google Penelusuran.
2. Ad clicking – Hubungkan ke situs jarak jauh di background dan klik iklan yang tidak dapat dilihat.
3. Social media account promotion – Mengarahkan lalu lintas ke konten tertentu di platform media sosial.
4. Online product promotion – Tingkatkan peringkat toko dengan mengklik iklannya.
Fungsi-fungsi ini ditawarkan sebagai layanan kepada mereka yang ingin meningkatkan keuntungan online mereka secara tidak sah, sehingga menguntungkan bagi operator malware secara tidak langsung.
Check Point melaporkan menemukan bukti yang menunjuk ke aktor yang berbasis di Bulgaria, tetapi selain itu, tidak ada yang diketahui tentang identitas atau lokasi aktor jahat tersebut.
Sejak itu, pembuat malware telah menambahkan beberapa fitur baru ke alat mereka dan kemampuan penghindaran deteksi lanjutan seperti pemuatan skrip dinamis.
Malware ini ditulis dalam Electron, sesuai dengan namanya, dan dapat meniru perilaku browsing dan melakukan tindakan seolah-olah itu adalah pengunjung situs web yang sebenarnya.
Untuk ini, ia membuka jendela browser tersembunyi baru menggunakan mesin Chromium dalam kerangka Electron, menetapkan header HTTP yang sesuai, merender halaman HTML yang diminta, dan akhirnya melakukan gerakan mouse, menggulir, mengklik, dan mengetik keyboard.
Tiruan gerakan mouse (Check Point)
Tujuan utama Electron Bot yang dianalisis oleh para peneliti Check Point adalah:
1. SEO Poisoning – Buat situs yang menerjunkan malware berperingkat tinggi di hasil Google Penelusuran.
2. Ad clicking – Hubungkan ke situs jarak jauh di background dan klik iklan yang tidak dapat dilihat.
3. Social media account promotion – Mengarahkan lalu lintas ke konten tertentu di platform media sosial.
4. Online product promotion – Tingkatkan peringkat toko dengan mengklik iklannya.
Komentar YouTube yang di-hardcode (Check Point)
Fungsi-fungsi ini ditawarkan sebagai layanan kepada mereka yang ingin meningkatkan keuntungan online mereka secara tidak sah, sehingga menguntungkan bagi operator malware secara tidak langsung.
Check Point melaporkan menemukan bukti yang menunjuk ke aktor yang berbasis di Bulgaria, tetapi selain itu, tidak ada yang diketahui tentang identitas atau lokasi aktor jahat tersebut.
Rantai Infeksi
Rantai infeksi dimulai dengan korban menginstal salah satu aplikasi
dari dalam Microsoft Store, sumber perangkat lunak yang dapat dipercaya.
Saat meluncurkan aplikasi, JavaScript dropper dimuat secara dinamis di background untuk mengambil muatan Bot Elektron dan menginstalnya.
Malware diluncurkan pada startup sistem berikutnya, terhubung ke C2 (Electron Bot[.]s3[.]eu-central-1[.]amazonaws.com atau 11k[.]online), mengambil konfigurasinya, dan menjalankan perintah apa pun didalam saluran.
Karena skrip utama dimuat secara dinamis pada saat dijalankan, file JS yang diletakkan di memori mesin sangat kecil dan tampaknya tidak berbahaya.
Rantai infeksi Electron Bot (Check Point)
Saat meluncurkan aplikasi, JavaScript dropper dimuat secara dinamis di background untuk mengambil muatan Bot Elektron dan menginstalnya.
Malware diluncurkan pada startup sistem berikutnya, terhubung ke C2 (Electron Bot[.]s3[.]eu-central-1[.]amazonaws.com atau 11k[.]online), mengambil konfigurasinya, dan menjalankan perintah apa pun didalam saluran.
Karena skrip utama dimuat secara dinamis pada saat dijalankan, file JS yang diletakkan di memori mesin sangat kecil dan tampaknya tidak berbahaya.
Perintah yang didukung oleh Electron Bot (Check Point)
Lebih dari sekedar permainan
Semua game yang diidentifikasi oleh Check Point menampilkan
fungsionalitas yang diharapkan saat operasi jahat berlangsung di
background.
Ini menghasilkan ulasan pengguna yang positif di Microsoft Store. Misalnya, Temple Endless Runner 2, yang diterbitkan pada 6 September 2021, memiliki peringkat bintang lima yang hampir sempurna dari 92 ulasan.
Tentu saja, para penjahat terus-menerus memikat mereka dan menggunakan berbagai judul game dan aplikasi untuk mengirimkan muatan malware kepada korban yang tidak menaruh curiga. Untuk saat ini, pengguna dapat mencatat pengembang yang merilis aplikasi game berbahaya yang dikonfirmasi menggunakan nama berikut:
- Lupy games
- Crazy 4 games
- Jeuxjeuxkeux games
- Akshi games
- Goo Games
- Bizzon Case
Penting untuk ditekankan bahwa meskipun versi Bot Elektron yang ada tidak menyebabkan kerusakan besar pada mesin yang terinfeksi, pelaku ancaman dapat dengan mudah memodifikasi kode untuk mengambil muatan tahap kedua seperti RAT atau bahkan ransomware.
Check Point menyarankan agar pengguna Windows menghindari mengunduh aplikasi dengan jumlah ulasan yang rendah, memeriksa detail pengembang/penerbit, dan memastikan bahwa nama aplikasi sudah benar dan tidak salah ketik.
Ini menghasilkan ulasan pengguna yang positif di Microsoft Store. Misalnya, Temple Endless Runner 2, yang diterbitkan pada 6 September 2021, memiliki peringkat bintang lima yang hampir sempurna dari 92 ulasan.
Tentu saja, para penjahat terus-menerus memikat mereka dan menggunakan berbagai judul game dan aplikasi untuk mengirimkan muatan malware kepada korban yang tidak menaruh curiga. Untuk saat ini, pengguna dapat mencatat pengembang yang merilis aplikasi game berbahaya yang dikonfirmasi menggunakan nama berikut:
- Lupy games
- Crazy 4 games
- Jeuxjeuxkeux games
- Akshi games
- Goo Games
- Bizzon Case
Penting untuk ditekankan bahwa meskipun versi Bot Elektron yang ada tidak menyebabkan kerusakan besar pada mesin yang terinfeksi, pelaku ancaman dapat dengan mudah memodifikasi kode untuk mengambil muatan tahap kedua seperti RAT atau bahkan ransomware.
Check Point menyarankan agar pengguna Windows menghindari mengunduh aplikasi dengan jumlah ulasan yang rendah, memeriksa detail pengembang/penerbit, dan memastikan bahwa nama aplikasi sudah benar dan tidak salah ketik.
Subscribe Our Newsletter

Post a Comment
Post a Comment