Остерегайтесь вредоносного ПО Electron Bot, скрывающегося в популярных игровых приложениях в магазине Microsoft

вредоносный код
Еще один день, еще одна угроза безопасности. Этот развертывается с помощью сомнительного программного обеспечения, развернутого в Microsoft Store . Эта конкретная проблема связана с установкой игр через Microsoft Store, причем эти игры часто являются клонами законных игр, поэтому эту ошибку очень легко совершить.

По прозвищу Electron Bot исследователи безопасности из Check Point Research, вредоносное ПО запускает своего рода экземпляр браузера в фоновом режиме компьютера жертвы для продвижения продуктов, кликов по рекламе и автоматизации учетных записей в социальных сетях. Это вредоносное ПО теперь появляется в клонах популярных игр, таких как Subway Surfer или Temple Run в магазине Microsoft. По словам исследователей, в мире уже насчитывается около 5000 зараженных устройств.

Electron Bot получил свое название, потому что он использует библиотечную систему Electron для программирования на JavaScript. Эта библиотека использует механизм рендеринга Chromium (который запускает веб-браузеры, такие как Google Chrome и Microsoft Edge ) и NodeJS, чтобы предоставить программный интерфейс для выполнения во время выполнения. При запуске зараженного программного обеспечения оно получает сжатую полезную нагрузку с удаленного сервера, используя поддельное расширение, такое как расширение файла изображения, поэтому антивирусное программное обеспечение не считает файл опасным. После загрузки полезная нагрузка извлекается, а затем запускается как другое скрытое приложение на основе Electron в фоновом режиме.

электронная страница
После запуска вредоносное приложение Electron добавляет себе ярлык в каталог автозагрузки, заставляя его работать в фоновом режиме каждый раз при загрузке компьютера. Помимо этого, в самом вредоносном приложении очень мало локального кода. Он использует те же функции, что и зараженное приложение, для получения полезной нагрузки с удаленного сервера. Затем эта новая полезная нагрузка будет выполнять одну из функций, связанных с элементами, описанными выше, например, кликать по объявлениям в результатах поиска в фоновом режиме, чтобы попытаться воздействовать на SEO. Он также может добавлять комментарии к видео на YouTube или обзоры продуктов, чтобы повысить популярность или результаты поиска. Он также может запускать видео YouTube в фоновом режиме, позволяя ему воспроизводиться до конца, поскольку время просмотра — это один из способов, которым алгоритм YouTube указывает популярные видео.

Хотя эти действия в основном безопасны для конечного пользователя, это не означает, что эти бездельники не могут использовать эту функциональность для более гнусных действий. Поскольку бот использует фоновую загрузку и выполнение кода, а электронная библиотека обеспечивает доступ на системном уровне, это дает программистам возможность использовать ресурсы графического процессора, изменять доступ к системным файлам и т. д. Это означает, что вполне вероятно, что он может загружать программы-вымогатели или скрывать программное обеспечение для майнинга или другие дополнительные вредоносные программы в своих полезных нагрузках.

госпожа магазин
Итак, что вы можете сделать, чтобы предотвратить заражение? Будьте осторожны с тем, что вы загружаете, откуда бы вы это ни загружали, это всегда первый шаг. Хотя некоторые приложения могут выглядеть законными, внимательно прочитайте их. Например, Temple Run — это имя собственное для бесконечного раннера, а добавление дополнительных слов к названию для попадания в те же результаты поиска — обычная тактика для тех, кто хочет развернуть эти атаки.
Удалить довольно просто — найдите приложение в списке программ и удалите его, найдите вредоносное ПО в папке %LocalAppData%\Packages, которая может быть помечена как «Microsoft.Windows.SecurityUpdate_xxxxxxxxx» или «Microsoft.Windows.Skype_xxxxxxx», и удалите их. . Затем удалите файл из автозагрузки, который должен находиться в %AppData%\Microsoft\Windows\Start Menu\Programs\Startup и, вероятно, помечен как «WindowsSecurityUpdate» или «Skype». Более подробную информацию о выводах можно прочитать на веб-сайте Check Point Research .

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал