社交媒体劫持恶意软件通过微软商店上的游戏应用程序传播

一种能够控制社交媒体帐户的新恶意软件正在通过微软的官方应用商店以特洛伊木马游戏应用程序的形式分发，感染了瑞典，保加利亚，俄罗斯，百慕大和西班牙的5，000多台Windows机器。

以色列网络安全公司Check Point将恶意软件称为"Electron Bot"，指的是最近活动中使用的命令和控制（C2）域。袭击者的身份尚不清楚，但有证据表明他们可能来自保加利亚。

"Electron Bot是一种模块化的SEO毒害恶意软件，用于社交媒体推广和点击欺诈，"Check Point的Moshe Marelus在本周发布的一份报告中表示。"它主要通过微软商店平台分发，并从数十个受感染的应用程序（主要是游戏）中删除，这些应用程序由攻击者不断上传。

恶意活动的第一个迹象始于2018年10月发现的广告点击器活动，恶意软件以Google相册应用程序的形式隐藏在视线中，正如Bleeping Computer所披露的那样。


自那以后的几年里，据说该恶意软件经历了多次迭代，为恶意软件提供了新功能和规避功能。除了使用跨平台Electron框架之外，机器人还设计用于在运行时加载从C2服务器获取的有效负载，使其难以检测。

"这使得攻击者能够在任何给定时间修改恶意软件的有效载荷并改变机器人的行为，"Marelus解释说。

Electron Bot的核心功能是打开一个隐藏的浏览器窗口，以进行SEO中毒，产生广告点击量，将流量引导到YouTube和SoundCloud上托管的内容，并推广特定产品以通过广告点击产生利润或提高商店评级以获得更高的销售额。

最重要的是，它还具有可以控制Facebook，Google和Sound Cloud上的社交媒体帐户的功能，包括注册新帐户，登录以及评论和喜欢其他帖子以增加观看次数。

当用户从Microsoft商店下载其中一个受感染的应用程序（例如，Temple Endless Runner 2）时，攻击序列就会被触发，该应用程序在启动时会加载游戏，但也会通过JavaScript悄悄丢弃并安装下一阶段的droper。

在此过程中，在滴管继续获取实际的机器人恶意软件之前，有一些步骤可以识别来自卡巴斯基实验室，ESET，诺顿安全，Webroot，Sophos和F-Secure等公司的潜在威胁检测软件。

推送带有恶意软件的应用程序的游戏发行商列表如下 -

Lupy games
Crazy 4 games
Jeuxjeuxkeux games
Akshi games
Goo Games
Bizzon Case
"由于机器人的有效负载在每次运行时都是动态加载的，攻击者可以修改代码并将机器人的行为更改为高风险，"Marelus指出。"例如，他们可以初始化另一个第二阶段并丢弃新的恶意软件，如勒索软件或RAT。所有这些都可以在受害者不知情的情况下发生。