社交媒体劫持恶意软件通过微软商店上的游戏应用程序传播

一种能够控制社交媒体账户的新恶意软件正在通过微软的官方应用商店以特洛伊木马游戏应用的形式分发，感染了瑞典、保加利亚、俄罗斯、百慕大和西班牙的5000多台Windows机器。

以色列网络安全公司Check Point将该恶意软件称为“电子机器人”，指的是近期活动中使用的一个指挥与控制（C2）域。袭击者的身份尚不清楚，但有证据表明他们可能来自保加利亚。

Check Point的Moshe Marelus在本周发布的一份报告中说：“Electron Bot是一个模块化的SEO中毒恶意软件，用于社交媒体推广和点击欺诈。”。“它主要通过Microsoft store平台分发，并从数十个受感染的应用程序（主要是游戏）中删除，攻击者不断上传这些应用程序。”

恶意活动的第一个迹象始于2018年10月发现的一场广告点击活动，正如Bleeping Computer披露的那样，恶意软件以谷歌照片应用程序的形式隐藏在显而易见的地方。

在此后的几年里，据说该恶意软件经历了多次迭代，为其配备了新功能和规避能力。除了使用跨平台的Electron框架外，bot还设计用于在运行时加载从C2服务器获取的有效载荷，这使得其难以检测。

“这使攻击者能够在任何给定时间修改恶意软件的有效负载并改变机器人的行为，”马雷卢斯解释道。

Electron Bot的核心功能是打开一个隐藏的浏览器窗口，以便进行SEO毒害，生成广告点击，将流量直接传送到YouTube和SoundCloud上托管的内容，并推广特定产品，通过广告点击产生利润，或为更高的销售额提高商店评级。

除此之外，它还提供了一些功能，可以控制Facebook、谷歌和Sound Cloud上的社交媒体账户，包括注册新账户、登录，以及评论和喜欢其他帖子以增加浏览量。

当用户从Microsoft应用商店下载其中一个受感染的应用程序（例如Temple infected Runner 2）时，就会触发攻击序列。该应用程序在启动时会加载游戏，但也会通过JavaScript偷偷删除并安装下一阶段的dropper。

在此过程中，在dropper继续获取实际的机器人恶意软件之前，需要采取一些步骤来识别来自卡巴斯基实验室、ESET、诺顿安全、Webroot、Sophos和F-Secure等公司的潜在威胁检测软件。

The list of game publishers that pushed the malware-laced apps is as follows –

• Lupy小游戏
• 疯狂4游戏
• 游戏
• 阿克什小游戏
• 好游戏
• 比松案

“由于机器人的有效载荷在每次运行时都是动态加载的，攻击者可以修改代码，并将机器人的行为更改为高风险，”马吕斯指出。“例如，他们可以初始化另一个第二阶段并删除新的恶意软件，如勒索软件或RAT。所有这些都可能在受害者不知情的情况下发生。”