La compañía especialista en ciberseguridad Check Point, ha descubierto la existencia de un nuevo malware distribuido a través de la tienda oficial de Microsoft que ha afectado a más de 5.000 dispositivos y es capaz de controlar cuentas de redes sociales.
El malware Electron Bot lleva activo desde finales de 2018 y hasta ahora los investigadores han calculado que ha afectado a 5.000 víctimas en 20 países distintos, siendo España uno de los países con más víctimas.
Este malware se distribuye principalmente a través de la tienda oficial de Microsoft y aparece en numerosas aplicaciones infectadas que suben los ciberdelincuentes que se hacen pasar por apps de Google y otras compañías.
El primer ataque en el que se utilizó este bot, fue en 2018 con una campaña de clicker de anuncios. En este caso, la app infectada se llamaba "Album by Google Photos". Aunque en los últimos años la mayoría de las apps son de videojuegos, algunos muy populares como el "Temple Run" o el "Subway Surfer".
Electron Bot es un malware que ejecuta constantemente los comandos de los ciberdelincuentes, entre los ataques más comunes encontramos que el malware es capaz de hacerse con el control de cuentas en redes sociales como Facebook o Google. Los hackers, pueden registrar nuevas cuentas, iniciar sesión, dejar comentarios o dar "me gustas".
Pero esto es solo una de sus capacidades. Electron Bot es un malware modular de envenenamiento SEO, que es un método de ataque que consiste en crear sitios web maliciosos y usar tácticas de optimización en los motores de búsquedas. También puede funcionar como Ad Clicker, un ataque en segundo plano, que hace que te conectes a páginas web remotas para generar "clics".
Otras de sus capacidades son las de promover cuentas en redes sociales con el fin de dirigir tráfico a contenidos específicos y la de promocionar productos online para aumentar la valoración de una tienda.
Para evitar ser detectados. Los ciberdelincuentes cargan desde sus servidores los scripts que controlan el malware durante su tiempo de ejecución. Esto les permite modificar la carga útil del malware y cambiar el comportamiento del bot en cualquier momento. Gracias a ello, Electron es capaz de imitar los comportamientos humanos mientras navega saltándose las protecciones de los sitios web e incluso pueden utilizarlo como backdoor y hacerse con el control total del dispositivo de la víctima.
El funcionamiento de estos ataques es bastante simple. Lo primero es la instalación de una aplicación con malware que se haga pasar por una legítima, después una vez que alguna víctima haya instalado la app, el ciberdelincuente descarga archivos y ejecuta scripts en el equipo infectado. Finalmente, el hacker irá ejecutando diferentes comandos dependiendo de las intenciones del ataque.
Es difícil distinguir entre una aplicación legítima y una que contiene malware, pero antes de descargar una hay que fijarse en algunos detalles. Si la app tiene pocas reseñas y no parecen fiables o si su nombre no coincide con el original y es sospechoso, hay que prestar atención y sobre todo pensárselo dos veces antes de descargar.
