Malware baru yang mampu mengendalikan akun media sosial sedang didistribusikan melalui toko aplikasi resmi Microsoft dalam bentuk aplikasi game yang di-trojan, menginfeksi lebih dari 5.000 mesin Windows di Swedia, Bulgaria, Rusia, Bermuda, dan Spanyol.
Perusahaan keamanan siber Israel, Check Point, menjuluki malware itu "Electron Bot," mengacu pada domain perintah-dan-kontrol (C2) yang digunakan dalam kampanye baru-baru ini. Identitas penyerang tidak diketahui, tetapi bukti menunjukkan bahwa mereka mungkin berbasis di Bulgaria.
"Electron Bot adalah malware keracunan SEO modular, yang digunakan untuk promosi media sosial dan penipuan klik," kata Moshe Marelus dari Check Point dalam sebuah laporan yang diterbitkan minggu ini. "Ini terutama didistribusikan melalui platform toko Microsoft dan dijatuhkan dari lusinan aplikasi yang terinfeksi, sebagian besar game, yang terus-menerus diunggah oleh penyerang."
Tanda pertama aktivitas jahat dimulai sebagai kampanye clicker iklan yang ditemukan pada Oktober 2018, dengan malware bersembunyi di depan mata dalam bentuk aplikasi Google Foto, seperti yang diungkapkan oleh Bleeping Computer.
Pada tahun-tahun sejak itu, malware dikatakan telah mengalami banyak iterasi yang melengkapi malware dengan fitur-fitur baru dan kemampuan mengelak. Selain menggunakan kerangka Electron lintas platform, bot ini dirancang untuk memuat muatan yang diambil dari server C2 pada saat dijalankan, sehingga sulit untuk dideteksi.
"Ini memungkinkan penyerang untuk memodifikasi muatan malware dan mengubah perilaku bot pada waktu tertentu," jelas Marelus.
Fungsi inti Electron Bot adalah untuk membuka jendela browser tersembunyi untuk melakukan keracunan SEO, menghasilkan klik untuk iklan, mengarahkan lalu lintas ke konten yang dihosting di YouTube dan SoundCloud, dan mempromosikan produk tertentu untuk menghasilkan keuntungan dengan mengklik iklan atau meningkatkan peringkat toko untuk yang lebih tinggi penjualan.
Selain itu, ia juga dilengkapi dengan fungsi yang dapat mengontrol akun media sosial di Facebook, Google, dan Sound Cloud, termasuk mendaftarkan akun baru, masuk, serta mengomentari dan menyukai posting lain untuk meningkatkan tampilan.
Urutan serangan dipicu ketika pengguna mengunduh salah satu aplikasi yang terinfeksi (misalnya, Temple Endless Runner 2) dari toko Microsoft yang, ketika diluncurkan, memuat game tetapi juga secara diam-diam menjatuhkan dan menginstal penetes tahap berikutnya melalui JavaScript.
Sepanjang jalan, ada langkah-langkah untuk mengidentifikasi perangkat lunak pendeteksi ancaman potensial dari perusahaan seperti Kaspersky Lab, ESET, Norton Security, Webroot, Sophos, dan F-Secure sebelum penetes melanjutkan untuk mengambil malware bot yang sebenarnya.
Daftar penerbit game yang mendorong aplikasi yang mengandung malware adalah sebagai berikut
-Lupy games
-Crazy 4 games
-Jeuxjeuxkeux games
-Akshi games
-Goo Games
-Bizzon Case
"Karena muatan bot dimuat secara dinamis setiap kali dijalankan, penyerang dapat memodifikasi kode dan mengubah perilaku bot menjadi berisiko tinggi," kata Marelus. "Misalnya, mereka dapat menginisialisasi tahap kedua dan menjatuhkan malware baru seperti ransomware atau RAT. Semua ini dapat terjadi tanpa sepengetahuan korban."