Еще один день, еще одна угроза безопасности. Оказалось, что вредоносное ПО скрывается в сомнительном программном обеспечении, развернутом в Microsoft Store. Эта проблема связана с установкой игр через Microsoft Store, причем они часто являются клонами лицензионных игр, поэтому заразить ПК достаточно легко.

По словам исследователей безопасности из Check Point Research, вредоносное ПО Electron Bot запускает своего рода экземпляр браузера в фоновом режиме компьютера жертвы для продвижения продуктов, кликов по рекламе и автоматизации учетных записей в социальных сетях. Это вредоносное ПО теперь появляется в клонах популярных игр, таких как Subway Surfer или Temple Run в магазине Microsoft. Согласно статистике, в мире уже насчитывается около 5000 зараженных устройств.

Electron Bot получил свое название, потому что он использует библиотечную систему Electron для программирования на JavaScript. Эта библиотека использует механизм рендеринга Chromium (который запускает веб-браузеры, такие, как Google Chrome и Microsoft Edge) и NodeJS. При запуске зараженного ПО оно получает сжатую полезную нагрузку с удаленного сервера, используя поддельное расширение, например, расширение файла изображения, поэтому антивирусное программное обеспечение не считает файл опасным. После загрузки полезная нагрузка извлекается, а затем запускается как другое скрытое приложение на основе Electron в фоновом режиме.

После запуска вредоносное приложение Electron добавляет себе ярлык в каталог автозагрузки, заставляя его работать в фоновом режиме каждый раз при загрузке компьютера. Помимо этого, в самом вредоносном приложении очень мало локального кода. Оно использует те же функции, что и зараженное приложение, для получения полезной нагрузки с удаленного сервера. Затем эта новая полезная нагрузка будет выполнять одну из функций, связанных с элементами, описанными выше, например, кликать по объявлениям в результатах поиска в фоновом режиме, чтобы попытаться воздействовать на SEO. Оно также может добавлять комментарии к видео на YouTube или обзоры продуктов, чтобы повысить популярность или продвинуть их в результатах поиска. Оно также может запускать видео YouTube в фоновом режиме, позволяя ему воспроизводиться до конца, поскольку время просмотра — это один из способов, с помощью которого алгоритм YouTube продвигает популярные видео.

Хотя эти действия в основном безопасны для конечного пользователя, это не означает, что эти подобное ПО не могут использовать для более опасных действий. Поскольку бот использует фоновую загрузку и выполнение кода, а электронная библиотека обеспечивает доступ на системном уровне, это дает программистам возможность использовать ресурсы графического процессора, изменять доступ к системным файлам и т. д. То есть, вполне вероятно, что такое ПО может загружать программы-вымогатели или скрывать программное обеспечение для майнинга или другие дополнительные вредоносные программы.

Поэтому будьте осторожны с тем, что вы загружаете. Хотя некоторые приложения могут выглядеть настоящими, внимательно читайте названия и отзывы. Например, Temple Run — это имя собственное для бесконечного раннера, а добавление дополнительных слов к названию для попадания в те же результаты поиска — обычная тактика для распространения вирусов.

Удалить такое ПО довольно просто — найдите приложение в списке программ и удалите его, найдите вредоносное ПО в папке %LocalAppData%\Packages, которая может быть помечена как «Microsoft.Windows.SecurityUpdate_xxxxxxxxx» или «Microsoft.Windows.Skype_xxxxxxx», и удалите их. Затем удалите файл из автозагрузки, который должен находиться в %AppData%\Microsoft\Windows\Start Menu\Programs\Startup и, вероятно, помечен как «WindowsSecurityUpdate» или «Skype». Более подробную информацию можно прочитать на веб-сайте Check Point Research