Electron Bot, un nuevo malware que se distribuye a través de la tienda de Microsoft

  • Endpoint

Con más de 5.000 equipos afectados, muchos en España, el malware permite tomar el control de cuentas de redes sociales en Facebook, Google y Sound Cloud, pudiendo registrar nuevas cuentas, iniciar sesión, dejar comentarios y dar "me gusta" a publicaciones, facilitando el fraude de clics.

Recomendados: 

El nuevo paradigma de seguridad para entornos SDWAN Webinar

Lee IT Digital Security (Febrero de 2022) para PC y Mac Leer

Nuevas reglas de seguridad para aplicaciones web y API Leer

Check Point Research ha detectado la existencia de un nuevo malware, apodado Electron Bot, que se está distribuyendo activamente a través de la tienda oficial de Microsoft. El malware aparece a partir de docenas de aplicaciones infectadas, en su mayoría videojuegos populares, como "Temple Run" o "Subway Surfer", que los ciberdelincuentes suben constantemente.

Con más de 5.000 equipos ya afectados en 20 países, incluida España, el malware ejecuta continuamente comandos de los ciberdelincuentes, como por ejemplo el control de cuentas de redes sociales en Facebook, Google y Sound Cloud. Las principales capacidades de Electron bot son envenenamiento SEO, un método de ataque en el que los ciberdelincuentes crean sitios web maliciosos y utilizan tácticas de optimización de motores de búsqueda para que aparezcan de forma destacada en los resultados de búsqueda; Ad Clicker, una infección informática que se ejecuta en segundo plano y se conecta constantemente a páginas web remotas para generar "clics" en la publicidad; promover cuentas de redes sociales, como YouTube y SoundCloud, para dirigir el tráfico a contenidos específicos y aumentar las visitas y los clics en los anuncios para generar beneficios; y promocionar productos online para generar beneficios con los clics en los anuncios o aumentar la valoración de la tienda con el objetivo de aumentar las ventas. Además, como la carga útil de Electron Bot se hace de forma dinámica, los atacantes pueden utilizar el malware instalado como backdoor para obtener el control total del dispositivo de la víctima.

La actividad de los atacantes comenzó como una campaña de clicker de anuncios descubierta a finales de 2018. El malware en cuestión se escondía en la tienda de Microsoft como una app llamada "Album by Google Photos" que decía ser publicada por Google LLC. Ahora ha evolucionado de forma constante a lo largo de los años, añadiendo nuevas características y técnicas a su arsenal.

El bot está desarrollado con Electron, un marco de trabajo para crear aplicaciones de escritorio multiplataforma utilizando scripts web. El marco combina el motor de renderizado Chromium y el tiempo de ejecución Node.js, dándole las capacidades de un navegador controlado por scripts como JavaScript. Para evitar la detección, la mayoría de los scripts que controlan el malware se cargan dinámicamente en tiempo de ejecución desde los servidores de los ciberdelincuentes. Esto les permite modificar la carga útil del malware y cambiar el comportamiento de los bots en cualquier momento. Electron imita el comportamiento de la navegación humana y evadir las protecciones de los sitios web.

“El framework Electron proporciona a las aplicaciones Electron acceso a todos los recursos informáticos, incluida la computación GPU. Como el payload del bot se carga dinámicamente en cada tiempo de ejecución, los atacantes pueden modificar el código y cambiar el comportamiento del bot a alto riesgo. Por ejemplo, pueden inicializar otra segunda etapa y enviar un nuevo malware como un ransomware o una RAT”, advierte Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

Los investigadores de Check Point Research han informado a Microsoft de todos los distribuidores de videojuegos detectados que están relacionados con esta campaña.