近日，瑞典、保加利、俄羅斯、百慕大和西班牙的5000多臺(tái)Windows設(shè)備被一種能夠控制社交媒體帳戶的新惡意軟件感染，它主要通過微軟的應(yīng)用商店以計(jì)算機(jī)木馬游戲應(yīng)用程序的形式入侵。

這種新型惡意軟件是一種典型的網(wǎng)絡(luò)病毒，它以隱蔽的方式進(jìn)入到目標(biāo)設(shè)備，對(duì)目標(biāo)設(shè)備中的私密信息進(jìn)行收集和破壞，再通過互聯(lián)網(wǎng)，把收集到的私密信息反饋給攻擊者，從而實(shí)現(xiàn)其目的。

以色列網(wǎng)絡(luò)安全公司Check Point將這惡意軟件稱為"Electron Bot"，目前攻擊者的身份尚不清楚，但有證據(jù)表明他們可能來自保加利亞。

Check Point的Moshe Marelus在本周發(fā)布的一份報(bào)告中表示：“Electron Bot是一種模塊化的SEO毒害惡意軟件，用于社交媒體推廣和點(diǎn)擊欺詐，它主要通過微軟商店平臺(tái)傳播，并在數(shù)十個(gè)受感染的應(yīng)用程序中散播，這些應(yīng)用程序由攻擊者不斷傳播。“

2018年10月第一次發(fā)現(xiàn)該惡意軟件活動(dòng)跡象始于廣告點(diǎn)擊器活動(dòng)，惡意軟件假裝自己是Google相冊(cè)的一部分，但實(shí)際上是一個(gè)廣告點(diǎn)擊器，可以反復(fù)打開Windows 10中的隱藏廣告。

往后幾年，該惡意軟件經(jīng)歷了多次更新，開創(chuàng)并提供了新功能和規(guī)避功能。除了使用跨平臺(tái)Electron框架之外，該惡意軟件還可以在運(yùn)行時(shí)加載從C2服務(wù)器獲取的有效負(fù)載，使其難以被發(fā)現(xiàn)。

Marelus解釋說："這使得攻擊者能夠在任何時(shí)間修改惡意軟件并控制修改你的電腦"。

Electron Bot的主要功能是打開一個(gè)隱藏的瀏覽器窗口，以感染SEO，產(chǎn)生廣告點(diǎn)擊量，將流量引導(dǎo)到Y(jié)ouTube視頻網(wǎng)站和SoundCloud語音錄制托管的內(nèi)容頁面，并推廣特定產(chǎn)品提高廣告點(diǎn)擊量、提升商店評(píng)級(jí)以獲得更高的銷售額，從中賺取利潤(rùn)。

最重要的是，它還具有可以控制Facebook，Google和Sound Cloud上的社交媒體帳戶的功能，包括注冊(cè)新帳戶，登錄、評(píng)論和點(diǎn)贊其他帖子以增加觀看次數(shù)。

在此過程中，在木馬程序繼續(xù)獲取實(shí)際的惡意軟件之前，可以利用來自卡巴斯基實(shí)驗(yàn)室、ESET、諾頓安全、WebrootSophos和F-Secure等公司的軟件采取一些步驟來識(shí)別潛在威脅檢測(cè)軟件。

推送帶有惡意軟件的應(yīng)用程序的游戲發(fā)行商列表如下：

• Lupy游戲
• 瘋狂4游戲
• Jeuxjeuxkeux 游戲
• 阿克什游戲
• GOO游戲
• Bizzon Case

Marelus指出：“由于在每次運(yùn)行時(shí)惡意軟件的有效負(fù)載都是動(dòng)態(tài)加載的，攻擊者可以修改代碼并將惡意軟件的行為更改為高風(fēng)險(xiǎn)，例如，他們可以初始化并釋放新的惡意軟件，如勒索軟件或RAT。所有這些都可以在受害者不知情的情況下發(fā)生?！?/p>

參考來源：https://thehackernews.com/2022/02/social-media-hijacking-malware.html