Sujet Précédent Sujet Suivant

Attaques Electron Bot dans le Microsoft Store W11

Fermé
pistouri Messages postés 18331 Date d'inscription dimanche 14 juin 2015 Statut Contributeur Dernière intervention 24 avril 2024 - 25 févr. 2022 à 19:58
pistouri Messages postés 18331 Date d'inscription dimanche 14 juin 2015 Statut Contributeur Dernière intervention 24 avril 2024 - 26 févr. 2022 à 18:33
Bonjour,

Un nouveau logiciel malveillant capable de contrôler les comptes de médias sociaux infecte plus de 5 000 machines et est activement distribué via des applications de jeu sur la boutique officielle de Microsoft.

Un nouveau malware, baptisé Electron Bot, qui a infecté plus de 5 000 machines actives dans le monde.

Electron Bot est un logiciel malveillant d'empoisonnement SEO modulaire, qui est utilisé pour la promotion des médias sociaux et la fraude au clic.
Il est principalement distribué via la plate-forme Microsoft Store et supprimé de dizaines d'applications infectées, principalement des jeux, qui sont constamment téléchargées par les attaquants.

Le logiciel malveillant en question se cachait dans la boutique Microsoft sous la forme d'une application appelée "Album by Google Photos" qui prétendait être publiée par Google LLC.
Source

L'équipe de recherche a choisi de nommer le logiciel malveillant Electron Bot, en se basant sur le domaine C&C de la dernière campagne Electron Bot[.]s3[.]eu-central-1[.]amazonaws.com . Les principales capacités du bot sont : 

- Empoisonnement SEO - Création de sites Web malveillants et utilisation de tactiques d'optimisation des moteurs de recherche pour que ces sites Web malveillants apparaissent en bonne place dans les résultats de recherche.
 - Ad Clicker - Une infection fonctionnant en arrière-plan pour générer des «clics» pour les publicités, en profitant financièrement
- Promotion de produits en ligne - Méthode factice pour générer des bénéfices en cliquant sur une annonce ou en augmentant la note du magasin pour des ventes plus élevées.

Source

Correction :
Afin de nettoyer les machines déjà infectées, CPR conseille aux utilisateurs de suivre ces étapes :

Supprimez l'application téléchargée depuis Microsoft Store. 
 
Allez dans paramètres > applications.
Recherchez l'application dans la liste et sélectionnez désinstalle
Supprimez le dossier de package du logiciel malveillant.
Accédez à C:\Users\<nom d'utilisateur>\AppData\Local\Packages.
Recherchez l'un des dossiers suivants et supprimez-le.
"Microsoft.Windows.SecurityUpdate_cw5n1h2txyewy"
"Microsoft.Windows.Skype_cw5n1h2txyewy"
Supprimez le fichier LNK associé du dossier de démarrage.
Accédez à C:\Users\<nom d'utilisateur>\AppData\Microsoft\Windows\Start Menu\Programs\Startup.
Recherchez un fichier nommé Skype.lnk ou WindowsSecurityUpdate.lnk et supprimez-le.
  • Évitez de télécharger une application avec peu d'avis
  • Recherchez des applications avec de bons avis, cohérents et fiables
  • Faites attention aux noms d'applications suspects qui ne sont pas identiques au nom d'origine


@prudence....


Configuration: Windows / Firefox 97.0

1 réponse

Réponse 1 / 1
pistouri Messages postés 18331 Date d'inscription dimanche 14 juin 2015 Statut Contributeur Dernière intervention 24 avril 2024 8 353
26 févr. 2022 à 18:33
Cela fait trois ans que ce malware existe et qu'il évolue constamment, pour arriver à la version telle qu'elle est aujourd'hui. Codé en Electron, d'où ce nom, le malware est capable d'ouvrir un navigateur en arrière-plan puis de simuler une navigation Internet avec des clics, scroll, saisie au clavier, etc.

Ce qui est surprenant, mais compréhensible, c'est que les jeux malveillants ont des évaluations positives sur le Microsoft Store ! En effet, même si le jeu est infecté, cela n'empêche pas l'utilisateur de récupérer le jeu et d'en profiter ! Le malware quant à lui agit en tâche de fond et n'est pas forcément visible !

Applications malveillantes qui circulent sur le Microsoft Store :
Lupy games
Crazy 4 games
Jeuxjeuxkeux games
Akshi games
Goo Games
Bizzon Case

En plus de cela, il est également livré avec des fonctions qui peuvent contrôler les comptes de médias sociaux sur Facebook, Google et Sound Cloud, y compris l’enregistrement de nouveaux comptes, la connexion, ainsi que commenter et aimer d’autres publications pour augmenter les vues.

La séquence d’attaque se déclenche lorsque les utilisateurs téléchargent l’une des applications infectées (par exemple, Temple Endless Runner 2) à partir de la boutique Microsoft qui, une fois lancée, charge le jeu mais supprime et installe furtivement le compte-gouttes de l’étape suivante via JavaScript.

En cours de route, il existe des étapes pour identifier les logiciels de détection de menaces potentiels d’entreprises telles que Kaspersky Lab, ESET, Norton Security, Webroot, Sophos et F-Secure avant que le dropper ne procède à la récupération du malware bot réel.

Source



Les dossiers d'Electron Bot stockés dans " C:\Users\\AppData\Local\Packages " : 

Microsoft.Windows.SecurityUpdate_cw5n1h2txyewy"
"Microsoft.Windows.Skype_cw5n1h2txyewy


@vigilance.

0

Discussions similaires

Installer une application non vérifiée Microsoft Store
Camtajoie -
Kori-Kori -

11 réponses