Tutto nacque qualche anno fa, correva l’anno 2018, quando una campagna di “ad clicker” si nascondese nel Microsoft Store sotto forma di app chiamata “Album by Google Photos” che affermava di essere pubblicata da Google LLC. Sono passati quattro anni, quel malware si è trasformato in Electron-bot, un virus che sta creando non pochi problemi a Microsoft.
Il noto Check Point Research (CPR) ha individuato un nuovo malware, infatti, distribuito attivamente tramite lo store ufficiale di Microsoft. Che esegue continuamente i comandi degli aggressori: il controllo degli account dei social media su Facebook, Google e Sound Cloud, ma ha la capacità di registrare nuovi account, accedere, commentare e mettere “mi piace” ad altri post. Sarebbero già cinquemila le macchine interessate.
SEO poisoning, Ad Clicker e le molteplici capacità dannosissime di Electron-bot
Electron-bot, chiamato così da CPR in base al dominio C&C dell’ultima campagna Electron Bot[.]s3[.]eu-central-1[.]amazonaws.com, è un malware di avvelenamento SEO modulare molto pericoloso, utilizzato per la promozione sui social media e la frode sui clic.
Il problema è che viene distribuito principalmente tramite la piattaforma Microsoft Store ed ha già rilasciato da dozzine di applicazioni infette, per lo più giochi, che vengono costantemente caricate dai cybercriminali. Il bot è realizzato con Electron, un framework per la creazione di applicazioni desktop multipiattaforma utilizzando script Web, e combina il motore di rendering Chromium e il runtime Node.js, offrendo le capacità di un browser controllato da script come JavaScript.
Per evitare il rilevamento, la maggior parte degli script che controllano il malware vengono caricati dinamicamente in fase di esecuzione dai server degli aggressori. Ciò consente agli aggressori di modificare il carico utile del malware e il comportamento dei bot in qualsiasi momento. Metteteci pure la miscela esplosiva data da gaming e social (gettonatissimi) ed il patatrac è completo.
Le sue capacità sono molteplici. Ha il SEO poisoning, un metodo di attacco in cui i criminali informatici creano portali dannosi e utilizzano tattiche di ottimizzazione dei motori di ricerca per farli apparire in primo piano nei risultati di ricerca. Un metodo usato eprfino come servizio di vendita per promuovere il posizionamento di altri siti web. Produce l’Ad Clicker, un’infezione del computer che viene eseguita in background e si connette costantemente a siti web remoti per generare “clic” per la pubblicità, traendo quindi un notevole profitto finanziario. E ancora.
Electon-bot promuove gli account di social media per indirizzare il traffico verso contenuti specifici, aumentare visualizzazioni e clic per generare profitti. Inoltre, il payload del malware contiene funzioni che controllano gli account dei social media su Facebook, Google e Sound Cloud. Il malware utilizza il framework Electron per imitare il comportamento di navigazione umana ed eludere le protezioni dei siti: insomma, i guai di Microsoft sono fino al collo.