Компанията за информационна и интернет сигурност Check Point са се натъкнали на троянска програма в Microsoft Store – един от редките случаи, в които защитите на магазина биват преодолявани – която е компрометирала стотици системи по целия свят.
Организаторите на кампанията са заразили над 5000 системи в 20 държави, сред които и България. Самата атака изглежда е организирана от територията на България – всички варианти на Electron Bot са качени в публичното клауд хранилище Mediafire между 2019 и 2022. Става дума за приложения, които най-често биват прикрити, като популярни игри – Temple Run, Subway Surfer и др. Electron Bot, както са кръстили специалистите троянската програма, има способността да превземе напълно компютъра, краде регистрации от популярни услуги, като Google, Facebook и Soundcloud и извършва различни други действия, като например да регистрира нови акаунти, да се логва в тях, да коментира и харесва публикации в реално време. Става дума за сложна зловредна програма, а най-много жертви, посочват Check Point, са регистрирани в Бермуда, България, Русия, Испания и Швеция.
Програмата е засечена за пръв път през 2018 в качеството си на нежелан софтуер, осъществяващ рекламни кликове, когато специалисти я откриват отново в магазина на Microsoft под името Album by Google Photos с издател Google LLC. През годините, програмата бива обновявана с нови функционалности, включително и превръщането ѝ в бот. Името, което Check Point ѝ дават е заради това, че програмата е създадена с помощта на Electron – софтуерен фреймуърк за изграждането на многоплатформени десктоп програми чрез използването на уебскриптове. Electron съчетава рендиращия енджин на Chromium с Node.js, което ѝ дава възможностите на браузър, контролиран от скриптове, като JavaScript. Към момента на публикуване на доклада (24-ти този месец), програмата не се засича от никой известен софтуер за защита от тези, които се използват във VirusTotal. Причината за това вероятно е, че повечето от скриптовете, които контролират зловредното поведение на програмата се зареждат динамично при нейния старт от сървърите на атакуващата страна.
Основните възможности на Electron Bot в момента са пренасочване на трафик от заразените компютри към акаунти в YouTube и SoundCloud за изкуствено повишаване на броя гледания и кликове върху реклами, промотиране на онлайн продукти с цел приход чрез завишаване на рейтинги и кликане върху реклами и като споменатите общи рекламни кликове, както и SEO poisoning – неправомерно повишаване на посещенията на даден уебсайт (в случая зловредни страници) с цел изкачване в резултатите на търсачките. Повече за самата кампания и какво трябва да направят жертвите на подобни инфекции, може да разберете в доклада на Check Point тук.
