近日，瑞典、保加利、俄羅斯、百慕大和西班牙的5000多臺Windows設備被一種能夠控制社交媒體帳戶的新惡意軟件感染，它主要通過微軟的應用商店以計算機木馬游戲應用程序的形式入侵。

這種新型惡意軟件是一種典型的網(wǎng)絡病毒，它以隱蔽的方式進入到目標設備，對目標設備中的私密信息進行收集和破壞，再通過互聯(lián)網(wǎng)，把收集到的私密信息反饋給攻擊者，從而實現(xiàn)其目的。

以色列網(wǎng)絡安全公司Check Point將這惡意軟件稱為"Electron Bot"，目前攻擊者的身份尚不清楚，但有證據(jù)表明他們可能來自保加利亞。

Check Point的Moshe Marelus在本周發(fā)布的一份報告中表示：“Electron Bot是一種模塊化的SEO毒害惡意軟件，用于社交媒體推廣和點擊欺詐，它主要通過微軟商店平臺傳播，并在數(shù)十個受感染的應用程序中散播，這些應用程序由攻擊者不斷傳播?！?/p>

2018年10月第一次發(fā)現(xiàn)該惡意軟件活動跡象始于廣告點擊器活動，惡意軟件假裝自己是Google相冊的一部分，但實際上是一個廣告點擊器，可以反復打開Windows 10中的隱藏廣告。

往后幾年，該惡意軟件經(jīng)歷了多次更新，開創(chuàng)并提供了新功能和規(guī)避功能。除了使用跨平臺Electron框架之外，該惡意軟件還可以在運行時加載從C2服務器獲取的有效負載，使其難以被發(fā)現(xiàn)。

Marelus解釋說："這使得攻擊者能夠在任何時間修改惡意軟件并控制修改你的電腦"。

Electron Bot的主要功能是打開一個隱藏的瀏覽器窗口，以感染SEO，產(chǎn)生廣告點擊量，將流量引導到Y(jié)ouTube視頻網(wǎng)站和SoundCloud語音錄制托管的內(nèi)容頁面，并推廣特定產(chǎn)品提高廣告點擊量、提升商店評級以獲得更高的銷售額，從中賺取利潤。

最重要的是，它還具有可以控制Facebook，Google和Sound Cloud上的社交媒體帳戶的功能，包括注冊新帳戶，登錄、評論和點贊其他帖子以增加觀看次數(shù)。

在此過程中，在木馬程序繼續(xù)獲取實際的惡意軟件之前，可以利用來自卡巴斯基實驗室、ESET、諾頓安全、WebrootSophos和F-Secure等公司的軟件采取一些步驟來識別潛在威脅檢測軟件。

推送帶有惡意軟件的應用程序的游戲發(fā)行商列表如下：

• Lupy游戲
• 瘋狂4游戲
• Jeuxjeuxkeux 游戲
• 阿克什游戲
• GOO游戲
• Bizzon Case

Marelus指出：“由于在每次運行時惡意軟件的有效負載都是動態(tài)加載的，攻擊者可以修改代碼并將惡意軟件的行為更改為高風險，例如，他們可以初始化并釋放新的惡意軟件，如勒索軟件或RAT。所有這些都可以在受害者不知情的情況下發(fā)生?！?/p>

參考來源：https://thehackernews.com/2022/02/social-media-hijacking-malware.html