Chiến dịch mã độc chiếm quyền điều khiển mạng xã hội lây lan nhanh qua các trò chơi trên Microsoft Store

Một mã độc mới có khả năng kiểm soát và chiếm quyền của người dùng trên các tài khoản mạng xã hội đang lây lan một cách nhanh chóng trên cửa hàng ứng dụng chính thức của Microsoft. Ấn nấp dưới dạng các ứng dụng trò chơi, mã độc đóng vai trò trojan, lây nhiễm cho hơn 5000 thiết bị Windows tại Thụy Điển, Bulgaria, Nga, Bermuda và Tây Ban Nha.

Công ty bảo mật an ninh mạng tại Isreal đã đặt tên cho mã độc này là “Electron Bot”, liên quan đến đặc quyền chỉ huy và kiểm soát (C2) đang được sử dụng trong các chiến dịch gần đây. Dù danh tính của các kẻ tấn công này vẫn chưa được phát hiện, nhưng có bằng chứng cho thấy chúng có thể ở ngoài Bulgaria.

Electron Bot là một phần mềm độc hại đầu độc SEO theo mô-đun, được sử dụng để quảng bá trên mạng xã hội và gian lận nhấp chuột. Được biết, chúng chủ yếu được lây lan qua nền tảng cửa hàng của Microsoft và hàng loạt các ứng dụng bị nhiễm chủ yếu là các trò chơi, được những kẻ tấn công này liên tục tải lên.

Dấu hiệu đầu tiên của chiến dịch độc hại bắt đầu bởi một chiến dịch nhấp chuột vào quảng cáo được phát hiện từ tháng 10/2018 với phần mềm độc hại ẩn nấp dưới dạng ứng dụng Google Photos – theo Bleeping Computer.

Trong những năm kể từ đó, phần mềm độc hại được cho là đã trải qua nhiều lần lặp lại để trang bị cho phần mềm độc hại các tính năng mới và khả năng lẩn tránh. Ngoài việc sử dụng khung Electron đa nền tảng, bot được thiết kế để tải các trọng tải được lấy từ máy chủ C2 tại thời điểm chạy, nên rất khó bị phát hiện.

Điều này cho phép những kẻ tấn công sửa đổi tải trọng của phần mềm độc hại và thay đổi hành vi của bot tại bất kỳ thời điểm nào.

Chức năng cốt lõi của Electron Bot là mở một cửa sổ trình duyệt ẩn để thực hiện SEO, tạo nhấp chuột cho quảng cáo, hướng lưu lượng truy cập đến nội dung được lưu trữ trên YouTube và SoundCloud, đồng thời quảng bá các sản phẩm cụ thể để tạo ra lợi nhuận bằng cách nhấp vào quảng cáo hoặc tăng xếp hạng cửa hàng cho cao hơn doanh số bán hàng.

Hơn hết, nó cũng đi kèm với các chức năng có thể kiểm soát các tài khoản mạng xã hội trên Facebook, Google và Sound Cloud, bao gồm đăng ký tài khoản mới, đăng nhập, cũng như bình luận và thích các bài đăng khác để tăng lượt xem.

Danh sách các nhà xuất bản trò chơi đã đẩy các ứng dụng chứa phần mềm độc hại như sau:Chuỗi tấn công được kích hoạt khi người dùng tải xuống một trong những ứng dụng bị nhiễm (ví dụ: Temple Endless Runner 2) từ cửa hàng Microsoft, khi khởi chạy, tải trò chơi nhưng cũng lén lút thả và cài đặt ống nhỏ giọt giai đoạn tiếp theo thông qua JavaScript.

Danh sách các nhà xuất bản trò chơi đã đẩy các ứng dụng chứa phần mềm độc hại như sau:

  • Lupy games
  • Crazy 4 games
  • Jeuxjeuxkeux games
  • Akshi games
  • Goo Games
  • Bizzon Case

Do tải trọng của bot được tải động tại mỗi thời điểm chạy, những kẻ tấn công có thể sửa đổi mã và thay đổi hành vi của bot thành nguy cơ cao. Chúng có thể khởi tạo một giai đoạn thứ hai khác và thả một phần mềm độc hại mới như ransomware hoặc RAT. Tất cả những điều này có thể xảy ra mà nạn nhân không hề hay biết.

Hương – Theo TheHackerNews

Để lại bình luận