Electron Bot adlı bir kötü amaçlı yazılım, Subway Surfer ve Temple Run gibi popüler oyunların klonları aracılığıyla Microsoft’un Resmi Mağazasına girerek İsveç, İsrail, İspanya ve Bermuda’da yaklaşık 5.000 bilgisayara bulaştı.
Siber istihbarat firması Check Point tarafından tespit edilen ve analiz edilen kötü amaçlı yazılım, düşmanlara güvenliği ihlal edilmiş makineler üzerinde tam kontrol sağlayan, uzaktan komut yürütmeyi ve gerçek zamanlı etkileşimleri destekleyen bir arka kapıdır.
Tehdit aktörlerinin amacı, Electron Bot’un bu platformlarda yeni hesap açma, yorum yapma ve beğenmeyi desteklemesi nedeniyle Facebook, Google, YouTube ve Sound Cloud’daki sosyal medya hesaplarını kontrol ederek elde ettikleri sosyal medya tanıtım ve tıklama sahtekarlığıdır.
Üç yıllık evrim
İşlem ilk olarak 2018’in sonunda, erken bir Electron Bot varyantının Microsoft Store’a sahte bir Google LLC kuruluşu tarafından yayınlanan “Album by Google Photos” olarak sunulmasıyla keşfedildi.
O zamandan beri, kötü amaçlı yazılım yazarları, araçlarına birkaç yeni özellik ve dinamik komut dosyası yükleme gibi gelişmiş algılama kaçırma yetenekleri eklediler.
Kötü amaçlı yazılım Electron’da yazılmıştır, bu nedenle adı ve doğal tarama davranışını taklit edebilir ve gerçek bir web sitesi ziyaretçisi gibi eylemler gerçekleştirebilir.
Bunun için Electron çerçevesindeki Chromium motorunu kullanarak yeni bir gizli tarayıcı penceresi açar, uygun HTTP başlıklarını ayarlar, istenen HTML sayfasını oluşturur ve son olarak fare hareketi, kaydırma, tıklama ve klavye yazma işlemlerini gerçekleştirir.
Check Point araştırmacıları tarafından analiz edilen devam eden kampanyada Electron Bot’un birincil hedefleri şunlardır:
- SEO zehirlenmesi – Google Arama sonuçlarında üst sıralarda yer alan kötü amaçlı yazılım bırakan siteler oluşturun.
- Reklam tıklaması – Arka planda uzak sitelere bağlanın ve görüntülenemeyen reklamlara tıklayın.
- Sosyal medya hesabı tanıtımı – Sosyal medya platformlarındaki belirli içeriğe doğrudan trafik.
- Çevrimiçi ürün promosyonu – Reklamlarına tıklayarak mağaza puanını artırın.
Bu işlevler, çevrimiçi karlarını gayri meşru bir şekilde artırmak isteyenlere hizmet olarak sunulmaktadır, bu nedenle kötü amaçlı yazılım operatörlerinin kazanımları dolaylıdır.
Atıf konusuna gelince, Kontrol Noktası raporları Aktörlerin Bulgaristan’da yerleşik olduğuna dair kanıtlar bulmak, ancak bunun yanı sıra, kötü niyetli aktörlerin kimliği veya konumu hakkında hiçbir şey bilinmiyor.
Enfeksiyon zinciri
Bulaşma zinciri, kurbanın, aksi takdirde güvenilir bir yazılım kaynağı olan Microsoft Store’dan bağcıklı uygulamalardan birini yüklemesiyle başlar.
Uygulamayı başlattıktan sonra, Electron Bot yükünü almak ve yüklemek için arka planda dinamik olarak bir JavaScript dropper yüklenir.
Kötü amaçlı yazılım bir sonraki sistem başlangıcında başlar, C2’ye bağlanır (elektron botu[.]s3[.]i-merkezi-1[.]amazonaws.com veya 11k[.]internet üzerinden), yapılandırmasını alır ve işlem hattındaki tüm komutları yürütür.
Ana komut dosyaları çalışma zamanında dinamik olarak yüklendiğinden, makinenin belleğine bırakılan JS dosyaları çok küçüktür ve görünüşte zararsızdır.
Bir oyundan daha fazlası
Check Point tarafından tanımlanan tüm bağcıklı oyunlar, arka planda kötü niyetli işlemler ortaya çıkarken beklenen işlevselliğe sahipti.
Bu, Microsoft Store’da olumlu kullanıcı incelemelerine neden olur. Örneğin, 6 Eylül 2021’de yayınlanan Temple Endless Runner 2, 92 inceleme arasından mükemmele yakın bir beş yıldız derecesine sahip.
Tabii ki, sahtekarlar sürekli olarak cazibelerini yeniliyor ve kötü amaçlı yazılım yüklerini masum kurbanlara teslim etmek için farklı oyun başlıkları ve uygulamalar kullanıyor.
Şimdilik kullanıcılar, aşağıdaki adları kullanarak onaylanmış kötü amaçlı oyun uygulamalarını yayınlayan yayıncıları not alabilir:
- Lupi oyunları
- çılgın 4 oyun
- Jeuxjeuxkeux oyunları
- Akshi oyunları
- yapışkan oyunlar
- Bizzon Vakası
Electron Bot’un mevcut sürümünün virüslü makinelerde feci hasara neden olmamasına rağmen, tehdit aktörlerinin RAT veya hatta fidye yazılımı gibi ikinci aşama bir yük getirmek için kodu kolayca değiştirebileceğini vurgulamak önemlidir.
Check Point, Windows kullanıcılarının düşük inceleme sayısına sahip uygulamaları indirmekten kaçınmasını, geliştirici/yayıncı ayrıntılarını incelemesini ve uygulama adının doğru olduğundan ve yazım hatası olmadığından emin olmasını önerir.