Malware menyusup ke Microsoft Store melalui klon game populer

Post a Comment
Malware bernama Electron Bot telah menemukan jalannya ke Toko Resmi Microsoft melalui tiruan permainan populer seperti Subway Surfer dan Temple Run, yang menyebabkan infeksi pada sekitar 5.000 komputer di Swedia, Israel, Spanyol, dan Bermuda.
Malware, yang ditemukan dan dianalisis oleh perusahaan intelijen siber Check Point, adalah backdoor yang memberi musuh kendali penuh terhadap sistem/mesin yang disusupi, mendukung eksekusi perintah jarak jauh dan interaksi real-time.
Sasaran para pelaku ancaman adalah promosi media sosial dan penipuan klik, yang mereka capai dengan mengendalikan akun media sosial di Facebook, Google, YouTube, dan Sound Cloud, karena Electron Bot mendukung pendaftaran akun baru, berkomentar, dan menyukai platform ini.

Tiga tahun evolusi

Operasi ini pertama kali ditemukan pada akhir 2018 ketika varian Bot Elektron awal dikirimkan ke Microsoft Store sebagai "Album oleh Foto Google," diterbitkan oleh entitas Google LLC palsu.
Sejak itu, pembuat malware telah menambahkan beberapa fitur baru ke alat mereka dan kemampuan penghindaran deteksi lanjutan seperti pemuatan skrip dinamis.
Malware ini ditulis dalam Electron, sesuai dengan namanya, dan dapat meniru perilaku browsing dan melakukan tindakan seolah-olah itu adalah pengunjung situs web yang sebenarnya.
Untuk ini, ia membuka jendela browser tersembunyi baru menggunakan mesin Chromium dalam kerangka Electron, menetapkan header HTTP yang sesuai, merender halaman HTML yang diminta, dan akhirnya melakukan gerakan mouse, menggulir, mengklik, dan mengetik keyboard.
Tiruan gerakan mouse (Check Point)

Tujuan utama Electron Bot yang dianalisis oleh para peneliti Check Point adalah:
1. SEO Poisoning – Buat situs yang menerjunkan malware berperingkat tinggi di hasil Google Penelusuran.
2. Ad clicking – Hubungkan ke situs jarak jauh di background dan klik iklan yang tidak dapat dilihat.
3. Social media account promotion – Mengarahkan lalu lintas ke konten tertentu di platform media sosial.
4. Online product promotion – Tingkatkan peringkat toko dengan mengklik iklannya.
Komentar YouTube yang di-hardcode (Check Point)

Fungsi-fungsi ini ditawarkan sebagai layanan kepada mereka yang ingin meningkatkan keuntungan online mereka secara tidak sah, sehingga menguntungkan bagi operator malware secara tidak langsung.
Check Point melaporkan menemukan bukti yang menunjuk ke aktor yang berbasis di Bulgaria, tetapi selain itu, tidak ada yang diketahui tentang identitas atau lokasi aktor jahat tersebut.

Rantai Infeksi

Rantai infeksi dimulai dengan korban menginstal salah satu aplikasi dari dalam Microsoft Store, sumber perangkat lunak yang dapat dipercaya.
Rantai infeksi Electron Bot (Check Point)

Saat meluncurkan aplikasi, JavaScript dropper dimuat secara dinamis di background untuk mengambil muatan Bot Elektron dan menginstalnya.
Malware diluncurkan pada startup sistem berikutnya, terhubung ke C2 (Electron Bot[.]s3[.]eu-central-1[.]amazonaws.com atau 11k[.]online), mengambil konfigurasinya, dan menjalankan perintah apa pun didalam saluran.
Karena skrip utama dimuat secara dinamis pada saat dijalankan, file JS yang diletakkan di memori mesin sangat kecil dan tampaknya tidak berbahaya.
Perintah yang didukung oleh Electron Bot (Check Point)

Lebih dari sekedar permainan

Semua game yang diidentifikasi oleh Check Point menampilkan fungsionalitas yang diharapkan saat operasi jahat berlangsung di background.
Ini menghasilkan ulasan pengguna yang positif di Microsoft Store. Misalnya, Temple Endless Runner 2, yang diterbitkan pada 6 September 2021, memiliki peringkat bintang lima yang hampir sempurna dari 92 ulasan.
Tentu saja, para penjahat terus-menerus memikat mereka dan menggunakan berbagai judul game dan aplikasi untuk mengirimkan muatan malware kepada korban yang tidak menaruh curiga.
Untuk saat ini, pengguna dapat mencatat pengembang yang merilis aplikasi game berbahaya yang dikonfirmasi menggunakan nama berikut:
- Lupy games
- Crazy 4 games
- Jeuxjeuxkeux games
- Akshi games
- Goo Games
- Bizzon Case
Penting untuk ditekankan bahwa meskipun versi Bot Elektron yang ada tidak menyebabkan kerusakan besar pada mesin yang terinfeksi, pelaku ancaman dapat dengan mudah memodifikasi kode untuk mengambil muatan tahap kedua seperti RAT atau bahkan ransomware.
Check Point menyarankan agar pengguna Windows menghindari mengunduh aplikasi dengan jumlah ulasan yang rendah, memeriksa detail pengembang/penerbit, dan memastikan bahwa nama aplikasi sudah benar dan tidak salah ketik.

Baca

Post a Comment

Subscribe Our Newsletter