Electron木马通过Microsoft Store大肆传播

“Temple Run（《神庙逃亡》）”或“Subway Surfer”等热门游戏被发现存在恶意攻击行为；

攻击者可以使用安装的恶意软件作为后门，以完全控制受害者的设备；

受害者大多分布在瑞典、保加利亚、俄罗斯、百慕大和西班牙；

Check Point Research (CPR) 发现了正在通过微软官方 Store传播的新恶意软件。已经有超过 5000 台设备受到影响，恶意软件不断执行攻击者命令，

例如控制 Facebook、Google 和 Sound Cloud 上的社交媒体帐户。该恶意软件可以注册新帐户、登录、评论和关注其他帖子。

CPR 已向 Microsoft 报告所有检测到的与此活动相关的游戏发行商。

技术分析

CPR 研究人员检测到一种名为 Electron 木马 的新型恶意软件，该恶意软件已感染全球 5000 多台活动设备。CPR 根据上次活动的 C&C 域 Electron 木马[.]s3[.]eu-central-1[.]amazonaws.com 选择了这个名称。

Electron 木马是一种模块化的 SEO恶意软件，用于社交媒体推广和点击欺诈。它主要通过微软 Store平台传播，并从攻击者不断上传的数十个受感染应用程序（主要是游戏）中删除。

攻击者的活动始于 2018 年底发现的广告点击活动。该恶意软件作为一个名为“Album by Google Photos”的应用程序隐藏在 Microsoft  Store中，该应用程序是由 Google LLC 发布的。

多年来，随着攻击者向其武器库添加新功能和技术，恶意软件不断发展。

该木马是用 Electron 构建的，Electron 是一个使用 Web 脚本构建跨平台桌面应用程序的框架。该框架结合了 Chromium 呈现引擎和 Node.js 运行时，使其具备由 JavaScript 等脚本控制的浏览器功能。

为了避免被检测到，大多数控制恶意软件的脚本都是在运行时从攻击者的服务器动态加载的。这使攻击者能够在任何给定时间修改恶意软件的有效负载并更改木马的行为。

Electron 木马 的主要功能是：

SEO 攻击，一种网络犯罪分子创建恶意网站并使用搜索引擎优化策略使它们在搜索结果中显著出现的攻击方法。这种方法也被用作销售即服务来提升其他网站的排名。

Ad Clicker，一种在后台运行并不断连接到远程网站以产生广告“点击”的设备感染，因此通过点击广告的次数获得经济利益。

推广 YouTube 和 SoundCloud 等社交媒体帐户，将流量引导至特定内容，并增加浏览量和广告点击量以产生利润。

推广在线产品以通过广告点击产生利润或提高 Store评级以获得更高的销售额。

此外，该恶意软件的有效载荷包含控制 Facebook、Google 和 Sound Cloud 上的社交媒体帐户的功能。它可以注册新帐户、登录、评论和关联其他帖子。

该恶意软件使用 Electron 框架来模仿人类浏览行为并逃避网站保护。

感染链

感染链

感染链与大多数活动类似，从安装来自 Microsoft Store 下载的受感染应用程序开始。

当用户启动游戏时，攻击者的服务器会在后台动态加载一个 JavaScript释放程序。然后它会执行一些操作，包括下载和安装恶意软件以及在启动文件夹上获得持久性。

该恶意软件在下次系统启动时启动。它与 C&C 建立连接并接收具有一组功能函数的动态 JavaScript 有效负载。最后，C&C 发送包含要执行的命令的配置文件。

当用户从合法的 Microsoft  Store下载一个受感染的应用程序时，该活动就开始了。为了方便演示，CPR 使用了 2021 年 9 月 6 日发布并拥有近百条评论的游戏Temple Endless Runner 2。

下载游戏后，应用程序包文件（APPX）安装在以下目录：“C:program fileswindowsapps16925JeuxjeuxjeuxGames.TempleRun2TakeTheIdolIfYouD_1.1.0.0_x64__66k318ytnjhfe app”

游戏文件夹

该游戏是使用 Electron 构建的，因此文件夹中的大多数文件都与 Electron 框架相关联。可执行文件“app.exe”是框架的主要部分，负责呈现位于资源文件夹中的所有脚本。

资源文件夹包含一个名为“app.asar”的 ASAR 文件，该文件被格式化为一个压缩文件，用于打包 Electron 应用程序的源代码。源代码将仅在运行时解压缩。

在此分析中，研究人员使用“ASAR 7zip扩展名”从“app.asar”文件中提取源代码。

源代码文件夹

源代码文件夹包含一些 JavaScripthtml 文件。这些文件非常小，大多数文件包含的代码不足10行。但是，这些文件很小，因为主脚本是在运行时动态加载的。

应用初始化

游戏是通过启动主脚本“main.js”来加载的，该脚本负责基本窗口初始化，并从 hxxps://s3[.]eu-west-1[.]amazonaws[.]com/jeuxjeuxjeux.files/json-obj-el12/templeendlessrunner2.json下载配置文件。

templeendlessrunner2.json

配置文件包含运行游戏所需的外部脚本的链接。

关键字如下：

" src " ——在线浏览器游戏网站上的原始游戏脚本链接。

" applicationScript " ——一个指向控制游戏界面的JavaScript文件的链接。

" applicationCss " ——指向游戏窗口的CSS文件的链接。

" serviceScript " ——指向一个JavaScript文件的链接，该文件会释放并安装下一阶段的释放程序。

启动所有脚本后，用户就可以玩游戏了。

释放程序——" serviceScript "：

“serviceScript”是一个JavaScript释放程序，包含用于下载恶意软件包、安装和获得持久性的函数。该脚本由 Electron 框架上的游戏应用程序呈现。

安全检测

释放程序首先验证受感染的设备有没有防病毒产品。它通过检查硬编码的防病毒产品列表来实现这一点，如果检测到防病毒产品，脚本将停止执行。

反病毒检测

接下来，释放程序从 hxxps://mediafire.com/file/3v4vlgsi1ve53ya/112942.png 下载“112942.png”。此文件是一个带有 PNG 扩展名的压缩文件夹。文件格式和文件扩展名之间的这种不匹配可能是因为恶意软件使用不太可疑的文件扩展名来避免检测。压缩后的内容被解压到以下目录：“C:users< username  >appdatalocalpackagesmicrosoft.windows.securityupdate_cw5n1h2txyewy”。

释放的文件夹结构类似于首次从 Microsoft Store 下载的游戏包。它也是一个 Electron 应用程序，源代码是从外部域动态加载的。

在释放的资源文件夹中，有一个名为“app”的文件，没有文件扩展名。与受感染的应用程序一样，释放程序将文件重命名为“app.asar”，以便 Electron 将其识别为 ASAR 格式的打包源代码文件。这很可能是启动的，因此恶意软件不会运行，除非它被正确安装。

持久性攻击

最后，释放程序会为位于所释放文件夹中的“Windows Security Update.exe”创建一个快捷方式文件 (lnk)。它将其放在启动文件夹中以获得持久性。安装并获得持久性后，木马会在下次系统启动时自动启动。

木马有效载荷

与 释放程序类似，实际的恶意软件负载不会存储在受感染的设备上。恶意软件启动后，它会从以下位置加载一个小的 JavaScript：hxxp://11k[.]online/Ad/javascripts/windowsdef.js。

windowsdef.js

“Windowsdef.js”下载“main.js”，即包含所有恶意软件功能的实际脚本。该脚本托管在 Electron 木马[.]s3[.]eu-central-1[.]amazonaws.comjsmain.js 下的 C&C 服务器上。

木马功能

该木马被设计用来模仿以下用户行为：

它通过在electron框架中使用chromium引擎打开一个新的隐藏的浏览器窗口；

它设置适当的 HTTP 标头，例如用户代理和推荐人；

它完全呈现所请求的 HTML 页面；

它通过移动鼠标、滚动和键盘输入来模仿人类用户的行为；

获得动态有效载荷后，恶意软件从11k[.]online/textFileProm.json下载配置文件。

配置文件

在每个配置文件中，某些命令都有一个已定义的“国家”列表。只有当受感染计算机的GEO位置出现在提供的列表中时，才能执行特定命令。

命令类型

IDLE、POPUNDER、DIRECTLINK、FAST、MEDIUM 和 BANNER 是木马浏览网页的不同方式。例如，它规定在哪里点击和使用什么HTTP标头。

Google SEO（搜索引擎优化）——通过点击目标搜索结果来促进搜索结果。这通过提高其在结果页面上的排名使网站更受欢迎。

YouTube——通过观看视频和添加观看次数来推广 YouTube 频道。在某些情况下，会提供一个 Gmail 帐户，以便木马能够评论、点赞和订阅。

木马硬编码的 YouTube 评论

PROM_UA——宣传在乌克兰在线 Store“shopsusa.prom.ua”上销售的产品。

MITRE ATT&CK 使用的技术

攻击来源

2019 - 2022年之间的所有版本都从保加利亚上传到一个公共云存储“mediafire.com”。

mediafire[.]com显示上传内容来自保加利亚

该木马推广的 Sound Cloud 帐户和 YouTube 频道的名称为“Ivaylo Yordanov”，他是一个很受欢迎的保加利亚摔角足球运动员。

保加利亚是源代码中最受推崇的国家。

总结

尽管该木马目前并未在受感染的设备上从事高风险活动，但还是有必要了解其功能的。

本文分析了一种名为 Electron 木马 的新型恶意软件，该恶意软件已在全球范围内攻击了 5000 多名受害者。当从微软官方 Store平台下载某些应用程序时，Electron 木马 就会趁机感染设备。Electron 框架为 Electron 应用程序提供了对所有设备资源的访问，包括 GPU 计算。由于每次运行时都会动态加载木马的有效负载，攻击者可以修改代码并将木马的行为更改为高风险。例如，他们可以初始化第二阶段并释放新的恶意软件，例如勒索软件或 RAT。所有这一切都可能在受害者不知情的情况下发生。

鉴于大多数人都信任应用程序 Store的评论，他们会毫不犹豫地从那里下载应用程序。但是，CPR 研究人员警告说，这样做存在巨大的风险，所有用户在下载应用程序时都应遵循一些安全提示：

避免下载评论量较少的应用程序；

寻找具有良好、一致和可靠评论的应用程序；

注意可疑的应用程序名称，它与原始名称不相同；

缓解措施

为了清理已经被感染的设备，CPR 建议用户遵循以下步骤：

删除从 Microsoft Store 下载的应用程序；

进入设置 > 应用程序；

在列表中找到应用程序并选择卸载；

删除恶意软件的包文件夹：

进入C:Users< username >AppDataLocalPackages。

查找以下文件夹并将其删除：

“Microsoft.Windows.SecurityUpdate_cw5n1h2txyewy”；

“Microsoft.Windows.Skype_cw5n1h2txyewy”；

从 Start Up 文件夹中删除关联的 LNK 文件：

进入C:Users< username >AppDataMicrosoftWindowsStart menusProgramsStartup。

查找名为 Skype.lnk 或 WindowsSecurityUpdate.lnk 的文件并将其删除；

参考及来源：https://research.checkpoint.com/2022/new-malware-capable-of-controlling-social-media-accounts-infects-5000-machines-and-is-actively-being-distributed-via-gaming-applications-on-microsofts-official-store/