Check Point berichtet über das Schadprogramm Electron-Bot

Security-Forschern von Check Point fällt eine neue Malware auf, die Social Media Accounts angreift, darunter Facebook, Google und Sound Cloud. Electron-Bot, so der Name, kann die Konten übernehmen, was heißt: neue Konten registrieren, sich anmelden, kommentieren, Gefällt-Mir drücken. Electron-Bot wird über Video-Spiele im Microsoft Store verbreitet, darunter die beliebten Titel: Temple Run und Subway Surfer. Schlimmer aber, als der Social-Media-Angriff: Die Hacker können den Schädling als Hintertür nutzen (weil die Payload dynamisch heruntergeladen wird), um den Computer eines Nutzers völlig zu übernehmen. Bereits über 5000 Rechner wurden, verteilt auf 20 Länder, infiziert. Derzeit stehen die meisten davon in Schweden, auf den Bermuda Inseln, in Israel und Spanien.

Was die Malware außerdem kann:

• SEO-Poisoning, eine Angriffsmethode, bei der Hacker betrügerische Websites erstellen und Suchmaschinenoptimierungstaktiken anwenden, um diese in den Suchergebnissen an vorderster Stelle erscheinen zu lassen. Diese Methode wird auch als Sell-as-a-Service eingesetzt, um das Ranking anderer Websites zu verbessern.
• Ad Clicker, eine Infektion, die im Hintergrund läuft und ständig eine Verbindung zu Websites herstellt, um Klicks für Werbung zu generieren und so finanziell von der Anzahl der Klicks auf eine Werbung zu profitieren.
• Werbung für Konten in sozialen Medien, wie YouTube und SoundCloud, um den Verkehr auf bestimmte Inhalte zu lenken und die Zahl der Aufrufe wie auch Werbeklicks zu erhöhen, um Gewinne zu erzielen.
• Bewerben von Online-Produkten, um mit Anzeigenklicks Gewinne zu erzielen oder die Bewertung von Shops zu erhöhen, um den Umsatz zu steigern.

Zur Lage des MS-Store sagen die Sicherheitsforscher, daß darin dutzende von verseuchten Anwendungen angeboten werden. Einen kleinen Überblick gibt die Tatsache, daß manche vermeintliche Spiele-Publisher in Wirklichkeit ausschließlich mit Malware versehene Spiele anbieten. Diese sind:

• Lupy games
• Crazy 4 games
• Jeuxjeuxkeux games
• Akshi games
• Goo Games
• bizon case

Der Angriffsweg der Malware sieht so aus:

• Der Angriff beginnt mit der Installation einer verseuchten Microsoft Store-Anwendung.
• Nach der Installation lädt der Angreifer verschiedene Dateien herunter und führt Skripte aus.
• Die heruntergeladene Malware verbleibt auf dem Computer des Opfers und führt wiederholt verschiedene Befehle aus, die vom C&C-Server des Angreifers gesendet werden.

Um eine Entdeckung zu vermeiden, werden die meisten Skripte, welche die Malware steuern, nach Bedarf dynamisch von den Servern der Angreifer geladen. Dies ermöglicht es den Hackern, die Nutzlast der Malware zu modifizieren und das Verhalten der Bots zu jeder Zeit zu ändern. Die Malware nutzt außerdem das Electron-Framework, um das menschliche Surfverhalten zu imitieren und den Website-Schutz zu umgehen.

Zum Ursprung der Malware vermuten die Sicherheitsforscher eine Hacker-Gruppe aus Bulgarien. Gründe:

• Alle Varianten zwischen 2019 und 2022 wurden auf einen öffentlichen Cloud-Speicher bei mediafire.com aus Bulgarien hochgeladen.
• Das Soundcloud-Konto und der YouTube-Kanal, für den der Bot wirbt, tragen den Namen "Ivaylo Yordanov", ein bekannter bulgarischer Ringer und Fußballspieler.
• Bulgarien ist das am meisten beworbene Land im Quellcode.

Daniel Alima, Malware Analyst bei Check Point Software Technologies, erklärt: „In dieser Untersuchung wurde eine neue Malware namens Electron-Bot analysiert, die weltweit mehr als 5000 Computer angegriffen hat. Electron-Bot wird über die offizielle Microsoft-Store-Plattform heruntergeladen und verbreitet sich einfach. Das Electron-Framework bietet Electron-Apps den Zugriff auf die Rechenleistung, einschließlich GPU-Computing. Da die Nutzlast des Bots bei jeder Ausführung dynamisch geladen wird, können die Angreifer den Code modifizieren und das Verhalten des Bots so verändern, dass er ein hohes Risiko darstellt. So können sie beispielsweise eine zweite Stufe initialisieren und eine neue Malware, wie Ransomware oder einen RAT, einschleusen. All dies kann ohne das Wissen des Opfers geschehen. Das Problem: Die meisten Menschen glauben, dass man den Bewertungen von Anwendungen in den Stores schlicht vertrauen kann und zögern nicht, eine Anwendung deshalb herunterzuladen. Das birgt ein unglaubliches Risiko, da man nie weiß, welche bösartigen Elemente man wirklich herunterlädt.“

Alle betroffenen Spiele-Anbieter wurden von Check Point verantwortungsbewusst bereits informiert.