Sun. Jun 26th, 2022

Un nuevo malware capaz de controlar las cuentas de las redes sociales se está distribuyendo activamente a través de la tienda oficial de Microsoft y ya ha infectado a más de 5000 máquinas activas en todo el mundo, según Check Point Research (CPR), que es el ala de investigación de la firma de software de ciberseguridad Check Point. El malware se llama Electron bot y es un malware de envenenamiento de SEO modular que se utiliza para la promoción en las redes sociales y el fraude de clics. Se distribuye a través de la plataforma de la tienda de Microsoft y se elimina de muchas aplicaciones infectadas, en su mayoría juegos. Según la firma de seguridad cibernética, se descubrió que las versiones de juegos populares como Temple Run y ​​Subway Surfer estaban infectadas. Las aplicaciones infectadas no se distinguen de las originales en Microsoft Store, salvo algunas diferencias. El envenenamiento de SEO generalmente se refiere al método en el que los atacantes crean sitios web maliciosos y los hacen aparecer en los primeros lugares de los resultados del motor de búsqueda mediante el uso de palabras clave y otros métodos de SEO de sombrero negro. La mayoría de los scripts utilizados para controlar el malware se cargan dinámicamente en tiempo de ejecución desde los servidores de los atacantes para evitar la detección. Esto también permite a los atacantes modificar la carga útil del malware y cambiar el comportamiento de los bots según sus requisitos.

Cómo funciona y para qué sirve

Después de que un usuario descarga un programa o juego infectado y lo ejecuta, se carga dinámicamente un cuentagotas de malware en segundo plano desde el servidor del atacante. Luego, el cuentagotas ejecuta varias acciones, incluida la descarga e instalación de malware que gana persistencia en la carpeta de inicio. El malware se inicia en el siguiente inicio del sistema. Además del envenenamiento de SEO, los atacantes también pueden usar Electron Bot para hacer que la computadora del usuario haga clic en los anuncios para generar ingresos para los atacantes. También pueden usarlo para promocionar cuentas de redes sociales mediante el uso de cuentas de usuario para dar me gusta y compartir contenido y para promocionar productos en línea aumentando las calificaciones de la tienda. Aunque aún no se ha identificado a los atacantes, CPR cree que podrían estar basados ​​en Bulgaria. Llegó a esta conclusión basándose en el hecho de que el bot se usa para promocionar varias cuentas y productos de redes sociales búlgaras. Aunque el bot no se ha utilizado para participar en actividades de alto riesgo, representa una amenaza persistente debido a sus capacidades y adaptabilidad. CPR recomienda prestar especial atención al descargar aplicaciones de la tienda de Microsoft.

By Maria Montero

Me apasiona la fotografía y la tecnología que nos permite hacer todo lo que siempre soñamos. Soñadora y luchadora. Actualmente residiendo en Madrid.