Check Point ha detectado la existencia de un nuevo malware que se está distribuyendo activamente a través de la tienda oficial de Microsoft, apodado Electron Bot.
Con más de 5.000 equipos ya afectados, el malware ejecuta continuamente comandos de los ciberdelincuentes, como por ejemplo el control de cuentas de redes sociales en Facebook, Google y Sound Cloud. De esta forma, es capaz de registrar nuevas cuentas, iniciar sesión, dejar comentarios y dar “me gusta” a otras publicaciones.
Electron Bot es un malware modular de envenenamiento SEO, que se utiliza para la promoción en redes sociales y el fraude de clics. Se distribuye principalmente a través de la plataforma de la tienda de Microsoft y aparece a partir de docenas de aplicaciones infectadas, en su mayoría videojuegos, que los ciberdelincuentes suben constantemente. La actividad de los atacantes comenzó como una campaña de clicker de anuncios descubierta a finales de 2018. El malware en cuestión se escondía en la tienda de Microsoft como una app llamada “Album by Google Photos” que decía ser publicada por Google LLC. Ahora ha evolucionado de forma constante a lo largo de los años, añadiendo nuevas características y técnicas a su arsenal.
El bot está desarrollado con Electron, un marco de trabajo para crear aplicaciones de escritorio multiplataforma utilizando scripts web. El marco combina el motor de renderizado Chromium y el tiempo de ejecución Node.js, dándole las capacidades de un navegador controlado por scripts como JavaScript.
Para evitar la detección, la mayoría de los scripts que controlan el malware se cargan dinámicamente en tiempo de ejecución desde los servidores de los ciberdelincuentes. Esto les permite modificar la carga útil del malware y cambiar el comportamiento de los bots en cualquier momento. Electron imita el comportamiento de la navegación humana y evadir las protecciones de los sitios web.
Las principales capacidades de Electron bot son:
- Envenenamiento SEO, un método de ataque en el que los ciberdelincuentes crean sitios web maliciosos y utilizan tácticas de optimización de motores de búsqueda para que aparezcan de forma destacada en los resultados de búsqueda. Este método también se utiliza para vender como un servicio y promover el ranking de otros sitios web.
- Ad Clicker, una infección informática que se ejecuta en segundo plano y se conecta constantemente a páginas web remotas para generar “clics” en la publicidad, con lo que se obtiene un beneficio económico por la cantidad de veces que se hace clic en un anuncio.
- Promover cuentas de redes sociales, como YouTube y SoundCloud, para dirigir el tráfico a contenidos específicos y aumentar las visitas y los clics en los anuncios para generar beneficios.
- Promocionar productos online para generar beneficios con los clics en los anuncios o aumentar la valoración de la tienda con el objetivo de aumentar las ventas.
Además, como la carga útil de Electron Bot se hace de forma dinámica, los atacantes pueden utilizar el malware instalado como backdoor para obtener el control total del dispositivo de la víctima.
Distribución a través de aplicaciones de videojuegos en Microsoft Store
Hay docenas de aplicaciones infectadas en la tienda de Microsoft. Se han encontrado títulos populares como “Temple Run” o “Subway Surfer” que son maliciosos.
Hasta ahora, los investigadores han contabilizado 5.000 víctimas en 20 países. La mayoría de las víctimas son de Suecia, Bermudas, Israel y España. Además, han detectado varios distribuidores de videojuegos maliciosos, donde todas las aplicaciones bajo los mismos están relacionadas con la campaña maliciosa:
• Lupy games
• Crazy 4 games
• Jeuxjeuxkeux games
• Akshi games
• Goo Games
• Bizon case
Cómo funciona el malware
- El ciberataque comienza con la instalación de una aplicación de la tienda de Microsoft que se hace pasar por legítima.
- Tras la instalación, el ciberdelincuente descarga archivos y ejecuta scripts.
- El malware, que ha sido descargado, gana persistencia en el equipo de la víctima, ejecutando repetidamente varios comandos enviados desde el C&C del atacante.
En cuanto al origen de este ciberataque, hay evidencias de que la campaña de malware se inició en Bulgaria, incluyendo:
• Todas las variantes entre 2019 – 2022 fueron subidas a un almacenamiento público en la nube “mediafire.com” desde Bulgaria.
• La cuenta de Sound Cloud y el canal de YouTube que el bot promociona están bajo el nombre de “Ivaylo Yordanov”, un popular luchador de fútbol búlgaro.
• Bulgaria es el país más promocionado en el código fuente.
Los investigadores de Check Point Research ha informado a Microsoft de todos los distribuidores de videojuegos detectados que están relacionados con esta campaña.
Consejos de seguridad
Para estar lo más seguro posible, antes de descargar una aplicación de la tienda de aplicaciones:
- Hay que evitar descargar una aplicación con poca cantidad de reseñas
- Se debe buscar aplicaciones con buenas reseñas, consistentes y confiables
- En caso de que el nombre de la aplicación sea sospechoso y no coincida con el nombre original, hay que prestar atención.