据Bleeping Computer报道一个名为Electron Bot的歹意顺序经过克隆Subway Surfer和Temple Run等抢手游戏进入微软官方商店,招致以色列、瑞典、百慕和西班牙大约3500台电脑被感染。
情报公司Check Point发现并剖析了这种歹意软件,并支持近程命令执行和实时交互,它可以让攻击者完全控制受感染的设备。攻击者的次要目的是经过控制脸书、谷歌、YouTube和音云上的社交媒体账户来完成社交媒体推行和点击欺骗。
2022年,攻击者制造的相册使用Google Photos呈现在微软商店,初次发现了电子机器人三年退化的痕迹。从那时起,他们在工具中添加了一些新功用,如初级检测躲避和静态脚本加载。
由于它是用电子书写的,它可以经过模仿自然人的阅读行为来拜访网站并停止相关操作,所以电子机器人得名。为此,它运用电子框架中的Chromium引擎翻开一个新的隐藏阅读器窗口,显示恳求的HTML页面,设置适当的HTTP头,最初执行鼠标挪动、滚动、点击和键盘输出。
当Check Point的研讨人员剖析其活动时,他们发现电子机器人的次要活动有:
点击广告——后台衔接近程站点,点击无法检查的广告;
SEO——创立一个在谷歌搜索后果中排名靠前的歹意软件交付网站;
在线产品推行-经过点击其广告来进步商店评级。
社交媒体账户推行——将流量导向社交媒体平台上的特定内容。
可见,电子Bot作为中介,为希图添加合法利润的人提供相应的功用和效劳,从中赚取利润。
甚至当受益者从微软商店装置克隆的游戏软件时,启动时,感染链就开端了。后台会静态加载一个JavaScript滴管,获取电子机器人的无效载荷并装置。歹意软件将在零碎下次启动时运转,衔接到C2,检索其配置并执行攻击者的任何命令。由于主脚本是在运转时静态加载的,所以存储在设备内存中的JS文件十分小,看起来有害。
Check Point发现一切克隆游戏都有上述歹意功用。这不只仅是一个游戏。由于这些操作都是在“幕后”停止的,荫蔽性很高,所以这些游戏有着不错的用户评价。比方2022年7月6日上映的《神庙流亡2》,在92个评价中播种了不少五星好评。当然,攻击者会不时更新他们的钓饵,运用不同的游戏称号和使用顺序将歹意软件的无效载荷传递给不知情的受益者。
Check Point建议Windows用户防止下载评论过低的软件,并细心反省开发者或发行商的详细信息,确保称号正确,没有拼写错误。
虽然现有版本的电子机器人不会对被感染的设备形成灾难性的毁坏,但攻击者例如会修正代码以取得第二阶段的无效载荷,如RAT甚至讹诈软件。
