Chiến dịch mã độc chiếm quyền điều khiển mạng xã hội lây lan nhanh qua các trò chơi trên Microsoft Store

www.tuoitre.vn -   28/02/2022 08:00:00 351

Một mã độc mới có khả năng kiểm soát và chiếm quyền của người dùng trên các tài khoản mạng xã hội đang lây lan một cách nhanh chóng trên cửa hàng ứng dụng chính thức của Microsoft. Ấn nấp dưới dạng các ứng dụng trò chơi, mã độc đóng vai trò trojan, lây nhiễm cho hơn 5000 thiết bị Windows tại Thụy Điển, Bulgaria, Nga, Bermuda và Tây Ban Nha.

Chiến dịch mã độc chiếm quyền điều khiển mạng xã hội lây lan nhanh qua các trò chơi trên Microsoft Store

Công ty bảo mật an ninh mạng tại Isreal đã đặt tên cho mã độc này là “Electron Bot”, liên quan đến đặc quyền chỉ huy và kiểm soát (C2) đang được sử dụng trong các chiến dịch gần đây. Dù danh tính của các kẻ tấn công này vẫn chưa được phát hiện, nhưng có bằng chứng cho thấy chúng có thể ở ngoài Bulgaria.

Electron Bot là một phần mềm độc hại đầu độc SEO theo mô-đun, được sử dụng để quảng bá trên mạng xã hội và gian lận nhấp chuột. Được biết, chúng chủ yếu được lây lan qua nền tảng cửa hàng của Microsoft và hàng loạt các ứng dụng bị nhiễm chủ yếu là các trò chơi, được những kẻ tấn công này liên tục tải lên.

Dấu hiệu đầu tiên của chiến dịch độc hại bắt đầu bởi một chiến dịch nhấp chuột vào quảng cáo được phát hiện từ tháng 10/2018 với phần mềm độc hại ẩn nấp dưới dạng ứng dụng Google Photos – theo Bleeping Computer.

Trong những năm kể từ đó, phần mềm độc hại được cho là đã trải qua nhiều lần lặp lại để trang bị cho phần mềm độc hại các tính năng mới và khả năng lẩn tránh. Ngoài việc sử dụng khung Electron đa nền tảng, bot được thiết kế để tải các trọng tải được lấy từ máy chủ C2 tại thời điểm chạy, nên rất khó bị phát hiện.

Chiến dịch mã độc chiếm quyền điều khiển mạng xã hội lây lan nhanh qua các trò chơi trên Microsoft Store

Điều này cho phép những kẻ tấn công sửa đổi tải trọng của phần mềm độc hại và thay đổi hành vi của bot tại bất kỳ thời điểm nào.

Chức năng cốt lõi của Electron Bot là mở một cửa sổ trình duyệt ẩn để thực hiện SEO, tạo nhấp chuột cho quảng cáo, hướng lưu lượng truy cập đến nội dung được lưu trữ trên YouTube và SoundCloud, đồng thời quảng bá các sản phẩm cụ thể để tạo ra lợi nhuận bằng cách nhấp vào quảng cáo hoặc tăng xếp hạng cửa hàng cho cao hơn doanh số bán hàng.

Hơn hết, nó cũng đi kèm với các chức năng có thể kiểm soát các tài khoản mạng xã hội trên Facebook, Google và Sound Cloud, bao gồm đăng ký tài khoản mới, đăng nhập, cũng như bình luận và thích các bài đăng khác để tăng lượt xem.

Danh sách các nhà xuất bản trò chơi đã đẩy các ứng dụng chứa phần mềm độc hại như sau:Chuỗi tấn công được kích hoạt khi người dùng tải xuống một trong những ứng dụng bị nhiễm (ví dụ: Temple Endless Runner 2) từ cửa hàng Microsoft, khi khởi chạy, tải trò chơi nhưng cũng lén lút thả và cài đặt ống nhỏ giọt giai đoạn tiếp theo thông qua JavaScript.

Danh sách các nhà xuất bản trò chơi đã đẩy các ứng dụng chứa phần mềm độc hại như sau:

  • Lupy games
  • Crazy 4 games
  • Jeuxjeuxkeux games
  • Akshi games
  • Goo Games
  • Bizzon Case

Do tải trọng của bot được tải động tại mỗi thời điểm chạy, những kẻ tấn công có thể sửa đổi mã và thay đổi hành vi của bot thành nguy cơ cao. Chúng có thể khởi tạo một giai đoạn thứ hai khác và thả một phần mềm độc hại mới như ransomware hoặc RAT. Tất cả những điều này có thể xảy ra mà nạn nhân không hề hay biết.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Kaspersky tiết lộ các hoạt động trên thị...

30/09/2022 08:00:00 58
Theo báo cáo Digital Footprint Intelligence (DFI) từ Kaspersky, 95% quảng cáo trong khu vực khu vực ...

Bản cập nhật Windows 11 22H2 gây màn hìn...

30/09/2022 12:00:00 25
Microsoft khuyến nghị người dùng các máy tính bị ảnh hưởng không nên cập nhật Windows 11 22H2 bằng c...

Cảnh báo lỗ hỗng Zeroday trên Microsoft ...

29/09/2022 08:00:00 43
Các nhà nghiên cứu bảo mật đang cảnh báo về các lỗ hổng chưa được tiết lộ trước đây trong các máy ch...

Phát hiện mã độc đội lốt phần mềm crack ...

29/09/2022 12:00:00 24
Mã độc này cũng cố lấy cắp dữ liệu từ một loạt các ví tiền điện tử có tùy chọn cài đặt trong trình d...

Lỗi WhatsApp nghiêm trọng có thể cho phé...

28/09/2022 08:00:00 33
WhatsApp đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng trong ứng dụng nhắn tin dành ch...

Chỉ cần di chuột qua PowerPoint cũng có ...

28/09/2022 08:00:00 44
Tác nhân đe dọa do nhà nước Nga bảo trợ được gọi là APT28 đã được phát hiện sử dụng một phương pháp ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ