Một mã độc có tên Electron Bot đã xâm nhập được vào kho ứng dụng chính thức của Microsoft, Microsoft Store. Nó làm điều này bằng cách giả mạo những tựa game phổ biến như Subway Surfer và Temple Run. Hiện tại, nó đã xâm nhập được vào hơn 5.000 máy tính tại các quốc gia như Thụy Điển, Israel, Tây Ban Nha và Bermuda.
Electron Bot được phát hiện bởi hãng phân tích tình báo mạng Check Point. Nó sẽ cung cấp một backdoor cho chủ nhân của nó quyền kiểm soát hoàn toàn với các máy bị xâm nhập, hỗ trợ thực thi code từ xa và tương tác trong thời gian thực.
Mục tiêu của hacker là chiếm đoạt các tài khoản mạng xã hội như Facebook, Google, YouTube và Sound Cloud để phục vụ các chiến dịch SEO bẩn hoặc nhấp vào quảng cáo, like nhằm tạo ra nguồn doanh thu bất chính.
Ba năm tiến hóa
Electron Bot không phải mới xuất hiện gần đây. Lần hoạt động đầu tiên của mã độc này diễn ra vào cuối năm 2018. Khi đó phiên bản đầu tiên của Electron Bot được đưa lên Microsoft Store dưới dạng ứng dụng "Album by Google Photos" bởi thực thể giả mạo Google LLC.
Từ đó tới nay, những kẻ đứng đằng sau mã độc này đã cập nhật thêm một số tính năng và công cụ mới. Bên cạnh đó, khả năng tránh bị phát hiện nâng cao như tải script động cũng được thêm vào.
Electron Bot được viết bằng ngôn ngữ Electron và nó có thể mô phỏng hành vi duyệt web tự nhiên cũng như thực hiện các hành động như là một người bình thường đang duyệt web.
Để làm điều này, nó sẽ mở một cửa sổ trình duyệt ẩn mới bằng cách sử dụng công cụ Chromium trong khung Electron, đặt tiêu đề HTTP thích hợp, hiển thị trang HTML được yêu cầu và cuối cùng thực hiện chuyển động chuột, cuộn, nhấp chuột và nhập bàn phím.
Theo phân tích của các nhà nghiên cứu tại Check Point, các mục tiêu chính của Electron Bot trong chiến dịch đang diễn ra là:
- Đầu độc SEO (SEO poisoning) - Tạo ra một trang phân phối malware có thứ hạng cao trong danh sách kết quả tìm kiếm của Google.
- Nhấp vào quảng cáo - Kết nối với các trang web trong nền và nhấp vào các quảng cáo dạng non-viewable.
- Quảng cáo tài khoản mạng xã hội - Hướng lưu lượng truy cập đến nội dung cụ thể trên các mạng xã hội.
- Quảng cáo sản phẩm trực tuyến - Tăng xếp hạng của cửa hàng bằng cách nhấp vào quảng cáo của nó.
Các chức năng này được cung cấp dưới dạng dịch vụ cho những ai có nhu cầu tăng doanh thu trực tuyến một cách bất hợp pháp.
Các tựa game chứa mã độc vẫn hoạt động bình thường để nạn nhân không có bất cứ nghi ngờ nào. Trong khi đó, tất cả các hoạt động gây hại sẽ diễn ra trong nền. Điều này dẫn tới việc người dùng vẫn có những đánh giá tích cực dành cho các game ấy trên Microsoft Store.
Tất nhiên là hacker sẽ liên tục làm mới các chiêu trò lừa đảo của chúng và sử dụng các tựa game và ứng dụng khác nhau để phát tán phần mềm độc hại.
Hiện tại, người dùng hãy lưu ý tới các đơn vị xuất bản đã được xác định là phát tán ứng dụng chứa mã độc dưới đây:
- Lupy games
- Crazy 4 games
- Jeuxjeuxkeux games
- Akshi games
- Goo Games
- Bizzon Case
Mặc dù hiện tại Electron Bot không gây ra thiệt hại nghiêm trọng cho các máy bị nhiễm nhưng không có gì đảm bảo điều này trong tương lai. Hacker có thể dễ dàng sửa đổi code để Electron Bot tải về và cài đặt RAT hoặc thậm chí là cả ransomware lên máy của nạn nhân.