Skadlig kod sprids via Microsoft Store

Den skadliga koden kan bland annat kontrollera drabbades konton på sociala medier. Foto: Check Point

Säkerhetsforskare hos Check Point Software Technologies har identifierat en ny skadlig programvara som sprids på Microsofts webbutik, Microsoft Store, och som har fått namnet ”Electron bot”. Totalt sett har säkerhetsforskarna konstaterat minst 5000 infekterade enheter i tjugo länder, där Sverige är ett av de länder med flest drabbade. Den skadliga koden kan bland annat kontrollera konton på sociala medier, men också fungera som en bakdörr för att ta kontroll över hela offrets dator. Forskarna har hittat ett dussintal applikationer i Microsoft Store som är infekterade med Electron bot.

Attacken inleds med att en applikation som utger sig för att vara legitim laddas ner från Microsoft Store. Via den nedladdade applikationen körs olika script och ytterligare filer laddas ner. Den skadliga koden blir kvar på offrets dator och utför där en rad olika kommandon. Angriparna har också utformat den skadliga koden för att undvika upptäckt, bland annat genom att efterlikna vanligt surfbeteende.

Den skadliga koden kan bland annat kontrollera drabbades konton på sociala medier som Facebook, Google och Sound Cloud. Programvaran kan registrera nya konton, logga in, kommentera och "gilla" andra inlägg. Säkerhetsforskarna har också sett att den skadliga koden används för bland annat ”Ad Clickers”, där en infekterad dator i bakgrunden går in på en webbplats och genererar klick på olika annonser, där klicken kan generera intäkter. Den skadliga koden kan också generera visningar och klick på YouTube och SoundCloud för att höja kontots status eller marknadsföra onlineprodukter för att generera vinst via annonsklick eller höja betyg för specifika butiker.

– Det är lätt att tro att det går att lita på allt som finns i appbutiker och att alla recensioner är tillförlitliga, men så är tyvärr inte fallet, säger Mats Ekdahl, säkerhetsexpert hos Check Point Software. Det finns risker med applikationer i webb- och appbutiker och du behöver vara kritisk och noggrann när du laddar ned något.

Forskarna har identifierat flera tydliga bevis på att den skadliga koden har sitt ursprung i Bulgarien, då alla varianter mellan 2019 och 2022 av den skadliga koden laddades upp till den publika molnlagringstjänsten "mediafire.com" från Bulgarien.