Des malwares se propagent grâce aux jeux du Microsoft Store
Récemment, un nouveau logiciel malveillant, se présentant sous la forme d’une application de jeu, a été diffusé à travers le Microsoft Store. Il peut être utilisé pour contrôler les comptes de réseaux sociaux.
Check Point, une entreprise de cybersécurité, a baptisé le malware Electron Bot. Ce logiciel aurait infecté environ 5 000 ordinateurs Windows dans divers pays tels que la Suède, la Bulgarie et l’Espagne. Pour l’heure, l’identité de l’attaquant n’est pas encore connue, mais certains éléments indiquent qu’il pourrait être situé à l’extérieur de la Bulgarie.
Selon la société Bleeping Computer, les premiers signes du malware sont apparus en 2018 par le biais d’une campagne de publicité par clics. Le malware serait caché dans l’application Google Photos.
De multiple fonctionnalités malveillantes
La principale fonction d’Electron Bot est d’ouvrir un navigateur caché pour augmenter le nombre de clics pour les publicités ou pour empoisonner le référencement. De plus, ce logiciel malveillant permet de rediriger le trafic vers des contenus de médias sociaux tels que YouTube et Sound Cloud. Il aide également à promouvoir certains produits ou à augmenter le score d’un magasin pour améliorer son niveau.
En outre, ce logiciel offre des fonctionnalités pour gérer les réseaux et les médias sociaux comme Facebook, Google et Sound Cloud. Il s’agit notamment d’ouvrir des comptes, de se connecter et de commenter, ainsi que d’aimer d’autres postes pour en améliorer la visibilité.
Par ailleurs, outre l’utilisation du Framework Electron multiplateforme, le malware est créé pour exécuter des fichiers de chargement exportés depuis le serveur C2. Ainsi, son identification dans les systèmes devient plus difficile à effectuer.
Un mode de contamination plus qu’étrange
Lorsqu’un utilisateur télécharge l’une de ces applications infectées depuis le Microsoft Store, le processus d’attaque est automatiquement déclenché. Une fois lancé, il charge le jeu, supprime et installe secrètement le compte-gouttes de l’étape suivante via JavaScript.
Par ailleurs, les scientifiques de la société Check Point estiment que les attaquants ont la possibilité de changer le code du malware, ce qui modifie son comportement. Ce changement serait dû à la charge du logiciel qui s‘exécute dynamiquement à chaque lancement de l’application du jeu infecté.
« Cela permet aux attaquants de modifier la charge utile du malware et de changer le comportement des bots à tout moment. »
Moshe Marelus de Check Point
SOURCE : THEHACKERNEWS
