Phát hiện app game trên Microsoft Store chứa và phát tán phần mềm độc hại

www.tuoitre.vn -   02/03/2022 12:00:00 1371

Một phần mềm độc hại mới có khả năng kiểm soát các tài khoản mạng xã hội đang được phát hành thông qua cửa hàng ứng dụng chính thức của Microsoft dưới dạng các ứng dụng trò chơi bị trojan hóa, lây nhiễm cho hơn 5.000 máy Windows ở Thụy Điển, Bulgaria, Nga, Bermuda và Tây Ban Nha.

Phát hiện app game trên Microsoft Store chứa và phát tán phần mềm độc hại

Công ty an ninh mạng Check Point của Israel đã đặt tên cho phần mềm độc hại này là “Electron Bot”, liên quan đến miền chỉ huy và kiểm soát (C2) được sử dụng trong các chiến dịch gần đây. Danh tính của những kẻ tấn công vẫn chưa rõ nhưng bằng chứng cho thấy họ có thể ở ngoài Bulgaria.

Trong một báo cáo được công bố trong tuần này, Moshe Marelus của Check Point cho biết: “Electron Bot là phần mềm nhiễm độc SEO theo mô-đun được dùng cho mục tiêu quảng bá trên mạng xã hội và lừa người dùng nhấp chuột. Phần mềm này chủ yếu được phát tán thông qua nền tảng cửa hàng Microsoft và thả từ hàng chục ứng dụng bị lây nhiễm, phần lớn là trò chơi. Các ứng dụng bị lây nhiễm này được kẻ tấn công tải lên liên tục.”

Theo thông tin tiết lộ từ Bleeping Computer, dấu hiệu đầu tiên của hoạt động độc hại bắt đầu là một chiến dịch nhấp chuột vào quảng cáo được phát hiện vào tháng 10/2018, với phần mềm độc hại ẩn nấp dưới dạng ứng dụng Google Photos.

Kể từ đó, phần mềm độc hại này được cho là đã trải qua nhiều phép lặp để trang bị thêm các tính năng mới và khả năng ẩn náu. Ngoài việc sử dụng khung Electron đa nền tảng, bot được thiết kế để tải các payload được lấy từ máy chủ C2 tại thời điểm chạy, nên rất khó bị phát hiện.

Phát hiện app game trên Microsoft Store chứa và phát tán phần mềm độc hại

Marelus giải thích: “Điều này cho phép những kẻ tấn công sửa đổi payload của phần mềm độc hại và thay đổi hành vi của bot tại bất kỳ thời điểm nào.

Chức năng cốt lõi của Electron Bot là mở một cửa sổ trình duyệt ẩn để tiến hành nhiễm độc SEO, tạo ra các cú nhấp chuột cho quảng cáo, hướng lưu lượng truy cập đến nội dung được lưu trữ trên YouTube và SoundCloud, đồng thời quảng bá các sản phẩm cụ thể để tạo ra lợi nhuận bằng cách nhấp vào quảng cáo hoặc tăng xếp hạng cửa hàng để tăng doanh số bán hàng.

Hơn hết, Electron Bot cũng đi kèm với các chức năng có thể kiểm soát các tài khoản mạng xã hội trên Facebook, Google và Sound Cloud, bao gồm đăng ký tài khoản mới, đăng nhập, cũng như bình luận và thích các bài đăng khác để tăng lượt xem.

Chuỗi tấn công được kích hoạt khi người dùng tải xuống một trong những ứng dụng bị nhiễm (ví dụ: Temple Endless Runner 2) từ cửa hàng Microsoft mà khi khởi chạy, cửa hàng vừa tải trò chơi nhưng cũng lén lút thả và cài đặt dropper giai đoạn tiếp theo thông qua JavaScript.

Đồng thời, có các bước để xác định phần mềm phát hiện mối đe dọa tiềm ẩn từ các công ty như Kaspersky Lab, ESET, Norton Security, Webroot, Sophos và F-Secure trước khi dropper tiến hành tìm nạp phần mềm độc hại bot thực sự.

Phát hiện app game trên Microsoft Store chứa và phát tán phần mềm độc hại

Danh sách các nhà xuất bản trò chơi đã phát tán các ứng dụng chứa phần mềm độc hại như sau:

Lupy games

Crazy 4 games

Jeuxjeuxkeux games

Akshi games

Goo Games

Bizzon Case

Marelus lưu ý: “Do payload của bot được tải động tại mỗi thời điểm chạy, những kẻ tấn công có thể sửa đổi mã và thay đổi hành vi của bot thành hành vi nguy cơ cao. Ví dụ, kẻ tấn công có thể khởi tạo một giai đoạn thứ hai khác và thả một phần mềm độc hại mới chẳng hạn như mã độc tống tiền ransomware hoặc RAT. Tất cả những điều này có thể xảy ra mà nạn nhân không hề hay biết.”

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Lỗ hổng bảo mật mức độ nghiêm trọng cao ...

23/02/2024 08:00:00 26
Thông tin chi tiết đã xuất hiện về một lỗ hổng bảo mật mức độ nghiêm trọng cao hiện đã được vá trong...

Apple công bố giao thức PQ3 - Mã hóa hậu...

22/02/2024 08:00:00 27
Apple đã công bố một giao thức mã hóa hậu lượng tử mới có tên PQ3 mà họ cho biết sẽ được tích hợp và...

Lỗ hổng Wi-Fi mới làm cho thiết bị Andro...

21/02/2024 08:00:00 41
Các nhà nghiên cứu an ninh mạng đã xác định được hai lỗ hổng cho phép bỏ qua xác thực trong phần mềm...

Lỗ hổng nghiêm trọng trên WordPress đang...

20/02/2024 08:00:00 27
Một lỗ hổng bảo mật nghiêm trọng trong chủ đề Bricks dành cho WordPress đang bị các tác nhân đe dọa ...

Meta lên tiếng cảnh báo về 8 công ty phầ...

19/02/2024 08:00:00 30
Meta cho biết họ đã thực hiện một loạt bước để hạn chế hoạt động độc hại từ 8 công ty khác nhau có t...

Trojan trên Android mới – Anatsa đã vượt...

16/02/2024 08:00:00 25
Một trojan ngân hàng Android mới có tên Anatsa đã mở rộng trọng tâm tấn công sang Slovakia, Slovenia...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ