سرقة ملفات الوسائط من خلال تطبيقات الألعاب على متجر Microsoft
سرقة ملفات من تطبيقات على متجر Microsoft تم سرقة ملفات الوسائط من خلال تطبيقات الألعاب على متجر Microsoft يتم توزيع برنامج ضار جديد قادر على التحكم في حسابات وسائل التواصل الاجتماعي .
من خلال متجر تطبيقات Microsoft الرسمي في شكل تطبيقات ألعاب ذات طروادة.
مما أصاب أكثر من 5000 جهاز يعمل بنظام Windows في السويد وبلغاريا وروسيا وبرمودا وإسبانيا.
شركة الأمن السيبراني Check Point
أطلقت شركة الأمن السيبراني Check Point على البرمجيات الخبيثة اسم “Electron Bot” ، في إشارة إلى مجال القيادة والتحكم (C2) المستخدم في الحملات الأخيرة. هوية المهاجمين غير معروفة ، لكن الأدلة تشير إلى أنهم قد يكونون من أصل بلغاريا.
قال موشيه ماريلوس من Check Point في تقرير نُشر هذا الأسبوع: “Electron Bot عبارة عن برنامج ضار معياري يسمم محركات البحث ، ويستخدم للترويج لوسائل التواصل الاجتماعي والنقر على الاحتيال .
يتم توزيعه بشكل أساسي عبر منصة متجر Microsoft ويتم إسقاطه من عشرات التطبيقات المصابة ، معظمها ألعاب ، والتي يتم تحميلها باستمرار من قبل المهاجمين.” بدأت أول علامة على نشاط ضار كحملة للنقر على الإعلانات تم اكتشافها في أكتوبر 2018 ، مع إخفاء البرنامج الضار على مرأى من الجميع في شكل تطبيق صور Google ، كما كشف Bleeping Computer.
في السنوات التي تلت ذلك ، يُقال إن البرامج الضارة خضعت للعديد من التكرارات التي تزود البرامج الضارة بميزات جديدة وقدرات مراوغة. بالإضافة إلى استخدام إطار عمل Electron عبر الأنظمة الأساسية . تم تصميم الروبوت لتحميل الحمولات التي تم جلبها من خادم C2 في وقت التشغيل ، مما يجعل من الصعب اكتشافه.
وأوضح ماريلوس أن “هذا يمكن المهاجمين من تعديل حمولة البرامج الضارة وتغيير سلوك الروبوتات في أي وقت”.
تتمثل الوظيفة الأساسية لـ Electron Bot في فتح نافذة مستعرض مخفية من أجل تنفيذ تسمم محركات البحث ، وإنشاء نقرات للإعلانات ، وتوجيه حركة المرور إلى المحتوى المستضاف على YouTube و SoundCloud . والترويج لمنتجات معينة لتحقيق أرباح من خلال النقر فوق الإعلان أو زيادة تصنيف المتجر للحصول على أعلى مبيعات.
علاوة على ذلك ، يأتي أيضًا مع وظائف يمكنها التحكم في حسابات الوسائط الاجتماعية على Facebook و Google و Sound Cloud ، بما في ذلك تسجيل حسابات جديدة وتسجيل الدخول بالإضافة إلى التعليق وإعجاب المنشورات الأخرى لزيادة المشاهدات.
الكشف عن ثقرة في البرنامج المساعد للنسخ الاحتياطي في WordPress
يتم تشغيل تسلسل الهجوم عندما يقوم المستخدمون بتنزيل أحد التطبيقات المصابة. (على سبيل المثال ، Temple Endless Runner 2) من متجر Microsoft الذي ، عند إطلاقه . يقوم بتحميل اللعبة ولكن أيضًا يسقط ويثبّت قطارة المرحلة التالية عبر JavaScript.
على طول الطريق ، هناك خطوات لتحديد برامج الكشف عن التهديدات المحتملة . من شركات مثل Kaspersky Lab و ESET و Norton Security و Webroot و Sophos و F-Secure . قبل أن يبدأ القطارة في جلب البرنامج الضار الفعلي للروبوت.
فيما يلي قائمة ناشري الألعاب الذين دفعوا التطبيقات المليئة بالبرامج الضارة –
- Lupy games
- Crazy 4 games
- Jeuxjeuxkeux games
- Akshi games
- Goo Games
- Bizzon Case
وأشار ماريلوس إلى أنه “نظرًا لأن حمولة الروبوت يتم تحميلها ديناميكيًا في كل وقت تشغيل . يمكن للمهاجمين تعديل التعليمات البرمجية وتغيير سلوك الروبوت إلى درجة عالية من المخاطرة”. “على سبيل المثال ، يمكنهم تهيئة مرحلة ثانية أخرى وإسقاط برنامج ضار جديد مثل برامج الفدية أو RAT. كل هذا يمكن أن يحدث دون علم الضحية.”