Check Point Researchは2月24日(米国時間)、「New Malware Capable of Controlling Social Media Accounts Infects 5,000+ Machines and is actively being Distributed via Gaming Applications on Microsoft's Official Store - Check Point Research」において、ゲームアプリを装った新しいトロイの木馬型マルウェアがMicrosoft Storeにおいて配布され、すでに5,000台以上のマシンへの感染を確認していると報告した。
「Electron Bot」と名付けられたこのマルウェアは、標的のマシンでソーシャルメディアアカウントの制御などを行う攻撃コマンドを実行することができるという。
Check Point Researchのレポートによると、Electron Botは「TempleRun」や「SubwaySurfer」といったゲームアプリに潜んで配布されたとのことだ。これらのゲームアプリはMicrosoftによるマルウェア検出の目をすり抜け、Microsoft Storeに公式に登録されていた。
Electron Botの主な攻撃機能としては、以下が挙げられている。
- 悪意のあるWebサイトを検索エンジンの検索結果の上位に表示されるように細工する「SEOポイズニング」
- バックグラウンドで自動でWebサイトの広告クリックを行う「Ad Clicker」
- YouTubeやSoundCloudなどの特定のコンテンツにトラフィックを誘導して視聴回数と広告クリック数を増加させる
- 特定のオンライン商品を宣伝して広告クリック数や店舗の評価を稼ぐ
上記に加えて、Facebook、Google、およびSoundCloudのアカウントを制御し、新しいアカウントの登録やログイン、他の投稿へのコメントや「いいね」を行う機能も含まれているという。
Electron Botによる攻撃シナリオは一般的なトロイの木馬型マルウェアと同様で、まず無害なアプリを装って被害者のマシンに潜り込んだ上で、JavaScriptドロッパーによって攻撃者のサーバからバックグラウンドで悪意のあるプログラムを動的に読み込むというもの。読み込まれたマルウェアは次のシステム起動時に実行され、C2サーバとの接続を確立して一連の機能を含む動的なJavaScriptペイロードを受け取り、最終的に攻撃のための実行コマンドが読み込まれる。
Check Point Researchには、Electron Botの詳細な挙動の解析結果や、侵害の手掛かりとなるIoC(侵害の痕跡)、すでに感染しているマシンをクリーンアップする方法などの情報が掲載されている。