A malware backdoor yang dapat mengambil alih akun media sosial – termasuk Facebook, Google dan Soundcloud – telah menyusup ke toko resmi Microsoft dengan mengkloning game populer seperti Temple Run atau Subway Surfer.
Pintu belakang, dijuluki Electron Bot, memberi penyerang kendali penuh atas mesin yang disusupi . Di antara beberapa perbuatan jahat yang dapat dilakukan dari jarak jauh, ini memungkinkan operatornya untuk mendaftarkan akun baru, masuk, dan mengomentari dan menyukai posting media sosial lainnya – semuanya dalam waktu nyata.
Dalam laporan hari Kamis, Check Point Research (CPR) mengatakan bahwa malware telah merenggut lebih dari 5.000 korban di 20 negara – sebagian besar dari Bermuda, Bulgaria, Rusia, Spanyol, dan Swedia– dalam serangan yang sedang berlangsung secara aktif.
Ini terutama didistribusikan melalui platform toko Microsoft, bersembunyi di lusinan aplikasi yang terinfeksi – sebagian besar game – bahwa penyerang "terus-menerus" mengunggah, kata CPR.
A Juru bicara Microsoft mengatakan kepada Threatpost pada hari Kamis bahwa "Kami sedang menyelidiki masalah ini dan akan mengambil tindakan yang tepat untuk melindungi pelanggan." menggambarkan pintu belakang Electron Bot yang baru ditemukan dan dianalisis sebagai “malware modular yang meracuni SEO” yang digunakan “untuk promosi media sosial dan penipuan klik.” serangan keracunan, pelaku ancaman membuat situs web jahat dan menggunakan taktik pengoptimalan mesin telusur yang memaksa situs tersebut ke puncak hasil pencarian.
Keracunan SEO, selain menampilkan tampilan SEO situs jahat, juga dijual sebagai layanan untuk mempromosikan peringkat situs web lain . Ini bisa menjadi alat lain dalam tas kit pendorong malware: Pada bulan Maret 2021, misalnya, kami melihat malware Gootkit menggunakan keracunan Google SEO untuk memperluas jumlah muatan yang diberikannya.
Electron Bot juga berfungsi sebagai clicker iklan, terus-menerus mengklik remote situs web untuk menghasilkan klik pada iklan yang menghasilkan pendapatan iklan bayar per klik (PPC).
Ini juga dapat mempromosikan akun media sosial, seperti YouTube dan SoundCloud, untuk mengarahkan lalu lintas ke konten tertentu, sehingga mendongkrak tampilan dan klik iklan untuk lebih banyak jarahan PPC. Electron Bot juga dapat mempromosikan produk online: cara lain untuk menghasilkan pendapatan PPC atau meningkatkan peringkat toko untuk penjualan yang lebih tinggi.
Electron: Kerangka kerja Electron memungkinkan bot untuk “meniru perilaku penjelajahan manusia dan menghindari perlindungan situs web,” jelas CPR.
Electron: Berdengung Selama Bertahun-tahun
Peneliti mengatakan bahwa petunjuk pertama penyerang telah masuk tanpa izin ke toko aplikasi Microsoft datang pada akhir 2018, ketika kampanye pengeklik iklan ditemukan bersembunyi di sebuah aplikasi bernama "Album oleh Foto Google" - sebuah aplikasi yang penulisnya, cukup berani, didorong secara curang karena dipublikasikan oleh Google LLC.
Malware semakin besar dan kuat selama bertahun-tahun. Bot mendapatkan namanya dari Electron, kerangka kerja sumber terbuka untuk membangun aplikasi desktop asli lintas platform menggunakan teknologi web seperti JavaScript.
Bot bersembunyi dengan membuat sebagian besar skrip pengontrolnya dimuat secara dinamis pada saat dijalankan dari server penyerang, kata CPR. Pendekatan ini juga membuat malware tetap gesit, kata mereka: “Ini memungkinkan penyerang untuk memodifikasi muatan malware dan mengubah perilaku bot pada waktu tertentu.”
Meskipun aktivitas bot saat ini pada mesin yang terinfeksi tidak terlalu berisiko tinggi, peneliti mencatat, malware dapat melakukan jauh lebih buruk, mengingat kerangka kerja Electron memberikan akses ke semua sumber daya komputer, termasuk komputasi GPU.
“Karena muatan bot dimuat secara dinamis pada setiap waktu berjalan, penyerang dapat memodifikasi kode dan mengubah bot perilaku berisiko tinggi,” kata mereka. “Misalnya, mereka dapat menginisialisasi tahap kedua dan menjatuhkan malware baru seperti ransomware atau [trojan akses jarak jauh, atau RAT]. Semua ini bisa terjadi tanpa sepengetahuan korban.”
Rutin Infeksi Bot Elektron
Infeksi dimulai saat korban menginstal aplikasi yang terinfeksi dari Microsoft Store.
“Saat pengguna meluncurkan game, penetes JavaScript dimuat secara dinamis di latar belakang dari penyerang ' server," menurut CPR. “Ini kemudian melakukan beberapa tindakan termasuk mengunduh dan menginstal malware dan mendapatkan persistensi di folder startup.”
Ketika sistem yang terinfeksi berikutnya dijalankan, malware diluncurkan, membuat koneksi dengan server perintah-dan-kontrol (C2), dan menerima payload JavaScript dinamis dengan serangkaian fungsi kemampuan. Terakhir, C2 mengirimkan perintah file konfigurasi untuk mengeksekusi.
Electron bot rantai infeksi. Sumber: CPR.
CPR menggunakan game Temple Endless Runner 2 yang populer sebagai contoh game yang dikloning oleh penyerang Electron Bot. Permainan khusus ini melibatkan pelari "tak terbatas", melarikan diri dari musuh dengan melintasi tebing, hutan, dan ranjau; monster kera jahat dalam pengejaran; peringatan kejang fotosensitif; dan sekitar 100 ulasan.
Game Temple Endless Runner 2 yang populer dikloning oleh operator Electron Bot. Sumber: CPR.
Click-Happy App Store Pelanggan, Hati-hati
Popularitas semacam itu (yang berpotensi memicu kejang) yang membuat kita mendapat masalah. Yang terbaru adalah trojan perbankan Xenomorph yang baru-baru ini ditemukan oleh ThreatFabric, dan yang paling ironis tentunya adalah Vultur, trojan yang dimasukkan ke dalam aplikasi otentikasi dua faktor (2FA) yang berfungsi penuh yang baru-baru ini menginfeksi 10.000 korban yang mengunduhnya dari Google Play Serangan sukses .
Electron Bot ke toko aplikasi resmi Microsoft hanyalah contoh mencolok terbaru tentang bagaimana orang berhati-hati saat melihat mainan baru yang mengilap di toko aplikasi, peneliti CPR memperingatkan: “Mengingat kebanyakan orang berpikir bahwa Anda dapat mempercayai aplikasi menyimpan ulasan, mereka tidak ragu untuk mengunduh aplikasi dari sana.”
CPR menyampaikan kiat keamanan ini:
- Hindari mengunduh aplikasi dengan sedikit ulasan.Cari aplikasi dengan ulasan yang baik, konsisten, dan andal.Perhatikan penamaan aplikasi yang mencurigakan itu tidak identik dengan nama aslinya.
Pindah ke cloud? Temukan ancaman keamanan cloud yang muncul bersama dengan saran yang kuat tentang cara mempertahankan aset Anda dengan eBook GRATIS kami yang dapat diunduh, “Cloud Security: The Forecast for 2022.” Kami mengeksplorasi risiko dan tantangan utama organisasi, praktik terbaik untuk pertahanan, dan saran untuk keamanan sukses dalam lingkungan komputasi yang dinamis, termasuk daftar periksa yang praktis.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web
