据Bleeping Computer网站消息,一种名为 Electron Bot 的恶意程序已通过克隆《地铁跑酷》(Subway Surfer) 和《神庙逃亡》(Temple Run) 等流行游戏进入微软官方商店,导致瑞典、以色列、西班牙和百慕大地区约 5,000 台计算机受到感染。
网络情报公司Check Point发现并分析了这一恶意软件,该软件能让攻击者完全控制受感染的设备,并支持远程命令执行和实时交互。攻击者的主要目的是通过控制 Facebook、Google、YouTube 和 Sound Cloud 上的社交媒体账户来实现社交媒体推广和点击欺诈。
历时三年的进化
Electron Bot的踪迹最早于2018年被发现,当时微软商店内出现了攻击者制作的相册应用Google Photos,从那时起,他们在工具中添加了一些新功能,如高级检测规避、动态脚本加载。
由于是用 Electron 编写,故Electron Bot因此得名,它可通过模拟如同自然人的浏览行为访问网站并执行相关操作。为此,它使用Electron框架中的Chromium引擎打开一个新的隐藏浏览器窗口,设置适当的HTTP标头,展示请求的HTML页面,最后执行鼠标移动、滚动、点击和键盘输入。
模仿自然人的鼠标操作,图源:Check Point
在Check Point研究人员对其活动进行分析时,发现Electron Bot主要活动目的在于:
SEO 中毒 – 创建在 Google 搜索结果中排名靠前的恶意软件投放网站;
广告点击——在后台连接到远程站点并点击不可查看的广告;
社交媒体账户推广 - 将流量引向社交媒体平台上的特定内容。
在线产品促销——通过点击其广告来提高商店评级。
由此可见,Electron Bot是以中间商的身份,向那些企图增加非法利润的人提供相应功能及服务,并从中赚取收益。
感染连
感染链开始于受害者从微软商店中安装已被克隆的游戏软件,在启动时,后台会动态加载一个JavaScript滴管,以获取Electron Bot的有效载荷并进行安装。恶意软件会在系统下一次启动时运行,并连接到 C2,检索其配置并执行攻击者的任意命令。由于主要的脚本在运行时动态加载,存储在设备内存中的JS文件非常小,看起来也很无害。
不仅仅是一个游戏
Check Point发现所有克隆游戏都具有上述的恶意功能,由于这些操作都在“幕后”进行,隐蔽性较高,导致这些游戏拥有了较为良好的用户评价,比如2021年9月6日发布的《神庙无尽逃亡2》(Temple Endless Runner 2),在92条评价中收获了大量的五星好评。当然,攻击者们不断刷新他们的诱饵,使用不同的游戏标题及应用,将恶意软件的有效载荷传递给毫无戒心的受害者。
微软商店上克隆的《神庙无尽逃亡2》游戏,图源:Check Point
虽然现有版本的 Electron Bot 不会对受感染的设备造成灾难性损害,但攻击者可能修改代码以获取第二阶段的有效载荷,如 RAT甚至勒索软件。
Check Point 建议 Windows 用户避免下载评论数过低的软件,并仔细检查开发者或发布者的详细信息,确保名称正确且没有拼写错误。
黑客教程
那么该如何学习,成为一名合格的白帽黑客呢?
网络上的学习资源鱼龙混杂、层次不齐,按照它来学习很可能会适得其反,今天我就教你3招,你一定用得上!
做任何事情,都是从0-1开始的,但万事开头难,如果你手上没有资源、没有方法、没有套路,那就更难了!
重新造轮子很难,但是仿照造轮子,就会简单很多。
比如以下这套阿里内部学习的网安(黑客)学习方向
资料提前领取地址:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
👉网安(黑客)全套学习视频👈
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。
👉网安(黑客红蓝对抗)所有方向的学习路线👈
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉黑客必备开发工具👈
工欲善其事必先利其器。学习黑客常用的开发软件都在这里了,给大家节省了很多时间。
这份完整版的网络安全(黑客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接即可前往获取【保证100%免费】。
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
很多朋友非网络安全专业,之前也没有计算机基础,直接上手安全,难度可不是一般的大。
跟着文字教程走,不是看不懂就是行不通,说实话真的浪费时间。
7413
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
