Microsoft 商店中出现假冒知名游戏的恶意软件

nova • 2023年9月19日 21:25 • 投稿

虽然在经过倡导之后，大家都知道从官方渠道下载应用与软件是最安全安心的方式，不过近来的消息又让人不由得把心又提到嗓子眼。安全研究单位在 Microsoft 商店中发现以知名游戏的外皮包裹的恶意病毒，当然这些都是假冒的，下载就直接在你的电脑中大开后门，至于后手会做些什么还真是难以预测。
Microsoft 商店中出现假冒知名游戏的恶意软件

Microsoft 商店中出现假冒知名游戏的恶意软件

安全研究单位 Check Point 近日发现一款名为「Electron Bot」的模块化恶意软件，透过伪装成《Subway Surfer》和《Temple Run》等数十款知名的热门游戏与应用偷偷进驻微软官方商店，使得目前大约有 5，000 部电脑受到感染。这支恶意软件是一个后门程序，使不肖人士能够完全控制受感染的电脑，进而执行远程下达的指令与实时信息传递。
Microsoft 商店中出现假冒知名游戏的恶意软件

因为 Electron Bot 支持在社交平台上注册、评论和点击喜欢的新帐户，利用 Electron Bot 的恶意人士主要目标是社交媒体的推广与点击诈骗，通过控制 Facebook、谷歌、YouTube 和 SoundCloud 上的社群帐号来实现。该恶意软件是用 Electron 编写因此得名，它可以模拟自然的用户浏览行为并执行操作，就好像是真正的网站用户一样。最早是在 2018 年首度发现这支恶意软件，当时早期的 Electron Bot 变种以「谷歌 Photos 相簿」之名提送给 Microsoft 商店，并以假的谷歌 LLC 之名发行。从那时起，恶意软件开发者在其工具中加入几个如动态脚本加载等新功能与高端侦测规避功能。
Microsoft 商店中出现假冒知名游戏的恶意软件

Check Point 研究人员分析 Electron Bot 的持续活动中主要目标是下面几项，这些功能作为服务提供给那些想要以投机取巧的方式增加网络线上利润的人，因此恶意软件经营者可以获得间接收益：

SEO中毒 – 创建在谷歌搜索结果中排名靠前的恶意软件抛弃式网站
广告点击 – 在后台连接到远程网站，然后点击不可查看的广告
社交媒体账号推广 – 将流量定向到社交媒体平台上的特定内容
在线产品促销 – 通过点击其广告来提高商店中的评等

它的感染传播方式最开始是让受害者从 Microsoft 商店里下载带有后门的应用程序，因为 Microsoft 商店是官方经营，大家的警觉心也会降低。启动该应用程序后，JavaScript dropper 在后台动态加载，以获取 Electron Bot 有效负载并安装它。在下一次系统启动时，恶意软件也会跟着执行连接到 C2，检索远端的配置并执行任何远端下达的指令，由于主脚本是在运行时动态加载，因此在电脑内存中的 JS 文件非常小，看起来就像无害的小绵羊一般。
Microsoft 商店中出现假冒知名游戏的恶意软件
▲运行脚本

Microsoft 商店中出现假冒知名游戏的恶意软件 ▲感染链

由于这些被Het Point检测到的内含恶意病毒游戏都具备完整的游戏功能，仅在背景执行恶意软件，使得这些游戏在Microsoft商店中都拥有很高的用户评价，像是2021年9月6日上架的《Temple Endless Runner 2》在92条评论中获得了接近完美的五星评等。当然，恶意人士会不断更新诱饵，并使用不同的游戏标题和应用程序将恶意软件有效载荷传递给毫无戒心的受害者。
Microsoft 商店中出现假冒知名游戏的恶意软件

以目前来说，下面这些发行商是已经确认推出内含恶意软件的名单：

Lupy games
Crazy 4 games
Jeuxjeuxkeux games
Akshi games
Goo Games
Bizzon Case

这边要强调的是，虽然现有版本的 Electron Bot 部会对受感染的电脑造成灾难性的损害，但恶意人士可能会透过修改程序的方式注入第二阶段的有效附载，例如执行 RAT 或是勒索病毒。 Check Point 建议用户避免下载评论计数较少的应用程序，在下载前也要仔细检查开发者、发行人的详细信息，并确保应用程序名称完全正确且未出现模拟两可的混淆式拼写。