Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point Software Technologies Ltd., un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha detectado un nuevo malware que se está distribuyendo a través de la tienda oficial de Microsoft, apodado Electron Bot
La división de Inteligencia de Amenazas de Check Point Software Technologies Ltd., Check Point Reserarch (CPR), proveedor líder de soluciones de ciberseguridad a nivel mundial, informó sobre la detección de un nuevo malware que actualmente se está distribuyendo de manera activa a través de la tienda oficial de Microsoft, el cual ha sido apodado Electron Bot.
Con más de 5.000 equipos infectados, el malware ejecuta continuamente comandos a los ciberdelincuentes, como por ejemplo el control de cuenta de redes sociales en Facebook, Google y Sound Cloud. Así, es capaz de registrar nuevas cuentas, iniciar sesión, dejar comentarios y dar “me gusta” a otras publicaciones.
Electron Bot es un malware modular de envenenamiento SEO, el cual se usa para la promoción en redes sociales y el fraude de clics. Principalmente se distribuye a través de la plataforma de la tienda de Microsoft y aparece a partir de docenas de aplicaciones infectadas, que en su mayoría son videojuegos, que los ciberdelincuentes suben constantemente.
La actividad de los atacantes inició como una campaña de clicker de anuncios descubierta a finales de 2018. El malware en cuestión se escondía en la tienda de Microsoft como una aplicación llamada “Albun by Google Photos” que decía ser publicada por Google LLC. Ahora ha evolucionado de forma constante a lo largo de los años, añadiendo nuevas características y técnicas a su arsenal.
El bot está desarrollado con Electron, un marco de trabajo para crear aplicaciones de escritorio multiplataforma utilizando scripts web. El marco combina el motor de renderizado Chromium y el tiempo de ejecución Node.js, que le da capacidades de un navegador controlado por scripts como JavaScript.
Para evitar ser detectado, la mayoría de los scripts que controlan el malware se cargan dinámicamente en tiempo de ejecución desde los servidores de los ciberdelincuentes. Esto les permite modificar la carga útil del malware y cambiar el comportamiento de los bots en cualquier momento. Electron imita el comportamiento de la navegación humana y así logra evadir las protecciones de los sitios web.
Los investigadores de Check Point Research han informado a Microsoft de todos los distribuidores de videojuegos detectados que están relacionados con esta campaña.
“Esta investigación ha analizado un nuevo malware llamado Electron-Bot que ha atacado a más de 5.000 víctimas en todo el mundo. Electron-Bot se descarga y se propaga fácilmente desde la plataforma oficial de la tienda de Microsoft. El framework Electron proporciona a las aplicaciones Electron acceso a todos los recursos informáticos, incluida la computación GPU. Como el payload del bot se carga dinámicamente en cada tiempo de ejecución, los atacantes pueden modificar el código y cambiar el comportamiento del bot a alto riesgo. Por ejemplo, pueden inicializar otra segunda etapa y enviar un nuevo malware como un ransomware o una RAT. Todo esto puede ocurrir sin el conocimiento de la víctima. La mayoría de las personas piensan que se puede confiar en las reseñas de las tiendas de aplicaciones, y no dudan en descargar una aplicación desde allí. Esto conlleva un riesgo increíble, ya que nunca se sabe qué elementos maliciosos se pueden estar descargando», alerta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.