Dopo diverse minacce ai danni degli utenti dei dispositivi Android, con malware che spesso si sono annidati anche nel Play Store, da qualche settimana a esser presi di mira sembrano essere gli utenti di un altro diffuso sistema operativo, Windows visto che, dopo l’allarme per la botnet Kraken, è emerso un altro attacco hacker, in salsa “gaming”, che usa come canale di diffusione nientepopodimeno che il Microsoft Store.
A darne notizia è la security house israeliana Check Point che, tramite la sua divisione Research, ha scoperto come diverse applicazioni di gaming presenti nel succitato store, dal quale si scaricano le app per Windows, siano vettori del malware Electron-bot: nello specifico, il virus in oggetto è stato rinvenuto in titoli quali Lupy games, Bizon case, Crazy 4 games, Akshi games, Jeuxjeuxkeux games, Goo Games, ma anche in cloni di videogame famosi come Subway Surfer e Temple Run. Ciò ha permesso all’infezione di contagiare i dispositivi di circa 5.000 utenti ignari, in 20 paesi, tra cui Spagna, Bermuda, Svezia, Israele.
Il modo in cui il virus Electron-bot si propaga prevede il download di uno dei giochi in questione che, in superficie, funziona come promesso, tanto da meritarsi anche diverse recensioni positive: di nascosto, però, entrano in azione gli script che scaricano il payload malevolo. Quest’ultimo si innesta nella cartella di avvio, restando operativo in background e riavviandosi a ogni boot del sistema, per scaricare dai server remoti di comando e controllo un payload JavaScript dinamico (il che consente anche all’hacker di cambiare il comportamento del malware, magar per innestarvi in futuro qualche componente ransomware) con le istruzioni da mettere in atto.
Ad oggi sembra che il virus Electron-bot, che trae il suo nome da un framework per la creazione di app desktop native, individuato per la prima volta nel Microsoft Store nel 2018 come finta app di Google (“Album by Google Photos”), nella sua attuale evoluzione, probabilmente attribuibile ad hacker bulgari (visti i riferimenti nel codice e la registrazione di account social col nome un noto atleta locale), si occupi di cliccare sulle pubblicità (aprendo in background una finestra del browser Chromium e navigando su detti banner per cliccarvi), di usare alcuni account social (SoundCloud e YouTube) per spingere il traffico web verso alcuni contenuti sì da guadagnare in base alle view e ai click sugli annunci: sembra anche che il malware sia capace di alterare il comportamento dei motori di ricerca per posizionare in cima ai risultati siti dannosi, e che sia in grado di alterare al valutazione di alcuni store online, a suon di commenti, like e interazioni messe in campo una volta carpiti gli account social delle vittime, in modo da incrementarne la vendita di prodotti.
Secondo quanto viene reso noto, Check Point ha segnalato a Microsoft i nomi delle gaming app coinvolte e, nel frattempo, consiglia diverse cautele per tenersi alla larga da problemi del genere: ad esempio, viene raccomandato di fare attenzione ai nomi delle app sospette, onde notarvi eventuali errori. Risulta anche importante scartare le app che abbiano pochi download, e prediligere quelle con recensioni che non siano solo buone, ma anche affidabili e coerenti (dacché, come è noto, alcuni virus sono anche in grado di recensirsi bene).