{"id":263407,"date":"2022-03-15T06:41:58","date_gmt":"2022-03-15T05:41:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263407"},"modified":"2023-04-11T07:09:40","modified_gmt":"2023-04-11T05:09:40","slug":"electron-bot-malware-im-microsoft-store-infiziert-ber-5-000-maschinen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/15\/electron-bot-malware-im-microsoft-store-infiziert-ber-5-000-maschinen\/","title":{"rendered":"Electron Bot: Malware im Microsoft Store infiziert &uuml;ber 5.000 Maschinen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/03\/15\/electron-bot-malware-im-microsoft-store-infiziert-ber-5-000-maschinen\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsanbieter Check Point ist auf eine neuartige Schadsoftware gesto\u00dfen, die eine komplette \u00dcbernahme der Systeme durch eine Backdoor erm\u00f6glicht. Zudem kann die Schadsoftware die Kontrolle \u00fcber Social Media-Accounts von Facebook, Google und Sound Cloud \u00fcbernehmen. Die Malware wurde \u00fcber Spiele verbreitet, die im offiziellen Microsoft Store zum Download angeboten wurden. Und das Tragische: Virenscanner wie der Microsoft Defender haben diese Malware nicht erkannt.<\/p>\n<p><!--more--><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/713ca4208e1d43d7952cd7f9f7327855\" alt=\"\" width=\"1\" height=\"1\" \/>Blog-Leser Lucifer hat im Diskussionsbereich auf diese Entdeckung von CheckPoint verwiesen (danke daf\u00fcr), die in <a href=\"https:\/\/web.archive.org\/web\/20221217231527\/https:\/\/research.checkpoint.com\/2022\/new-malware-capable-of-controlling-social-media-accounts-infects-5000-machines-and-is-actively-being-distributed-via-gaming-applications-on-microsofts-official-store\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> vom 24. Februar 2022\u00a0 beschrieben wird. Nachfolgender Tweet thematisiert diese Malware ebenfalls.<\/p>\n<p><img decoding=\"async\" title=\"Electron Bot Malware\" src=\"https:\/\/i.imgur.com\/4GEnJxA.png\" alt=\"Electron Bot Malware\" \/><\/p>\n<p>Check Point Research (CPR) ist auf die neue Malware gesto\u00dfen, die aktiv \u00fcber den offiziellen Store von Microsoft verbreitet wurde und bereits mehr als 5.000 Rechner befalle hat. Die Sicherheitsforscher nennen die neue Malware Electron Bot &#8211; in Anlehnung an die C&amp;C-Dom\u00e4ne der letzten Kampagne Electron-Bot[.]s3[.]eu-central-1[.]amazonaws.com.<\/p>\n<p>Electron Bot ist eine modulare SEO-Poisoning-Malware, die f\u00fcr Social-Media-Promotion und Klickbetrug eingesetzt wird. Sie wird haupts\u00e4chlich \u00fcber die Microsoft-Store-Plattform verbreitet und steckt in Dutzenden infizierter Anwendungen. Es handelt sich meist um beliebte Spiele wie wie \"Temple Run\" oder \"Subway Surfer\", die von den Angreifern st\u00e4ndig hochgeladen werden.<\/p>\n<p>Die Malware kann \u00fcber C&amp;C-Server st\u00e4ndig neue Befehle der Angreifer ausf\u00fchren. Dazu geh\u00f6rt auch die Steuerung von Social-Media-Konten bei Facebook, Google und Sound Cloud. Die Malware kann neue Konten registrieren, sich anmelden, andere Beitr\u00e4ge kommentieren und \"liken\". Die Angreifer k\u00f6nnen die installierte Malware als Hintert\u00fcr nutzen, um die volle Kontrolle \u00fcber den Computer des Opfers zu erlangen. Die meisten Opfer stammen aus Schweden, Bulgarien, Russland, Bermuda und Spanien.<\/p>\n<h2>Seit 2018 aktiv, Virenschutz ausgetrickst<\/h2>\n<p>Die Aktivit\u00e4ten der Angreifer begannen laut Check Point Research bereits Ende 2018 mit einer Werbeklickerkampagne. Die fragliche Malware versteckte sich im Microsoft-Store als App namens \"Album by Google Photos\", die vorgab, von Google LLC ver\u00f6ffentlicht zu werden. Die Malware wurde sich im Laufe der Jahre st\u00e4ndig weiterentwickelt, da Angreifer neue Funktionen und Techniken hinzuf\u00fcgen.<\/p>\n<p>Der Bot wurde mit Electron erstellt, einem Framework f\u00fcr die Erstellung plattform\u00fcbergreifender Desktop-Anwendungen mithilfe von Webskripten. Das Framework kombiniert die Chromium-Rendering-Engine und die Node.js-Laufzeitumgebung, wodurch es die F\u00e4higkeiten eines Browsers erh\u00e4lt, der von Skripten wie JavaScript gesteuert wird.<\/p>\n<p>Um eine Entdeckung zu vermeiden, werden die meisten Skripte, die die Malware steuern, zur Laufzeit dynamisch von den Servern der Angreifer geladen. Dies erm\u00f6glicht es den Angreifern, die Nutzlast der Malware zu modifizieren und das Verhalten der Bots jederzeit zu \u00e4ndern. L\u00e4dt der Nutzer eine infizierte Elektron-App aus dem Microsoft Store, beginnt ein Dropper sp\u00e4ter mit dem Download der Malware und installiert diese.<\/p>\n<p>Der Dropper \u00fcberpr\u00fcft zun\u00e4chst, ob auf dem infizierten Rechner ein Antivirenprodukt installiert ist. Dazu wird eine Liste mit fest kodierten Antiviren-Produkten abgeglichen. Wird ein Antiviren-Produkt gefunden, stoppt das Skript seine Ausf\u00fchrung. Dadurch konnte die Malware nicht durch Antivirus-Software wie den Microsoft Defender oder VirusTotal entdeckt werden. Die Details &#8211; auch zur Erkennung und Beseitigung der Malware &#8211; sind <a href=\"https:\/\/web.archive.org\/web\/20221217231527\/https:\/\/research.checkpoint.com\/2022\/new-malware-capable-of-controlling-social-media-accounts-infects-5000-machines-and-is-actively-being-distributed-via-gaming-applications-on-microsofts-official-store\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> zu entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsanbieter Check Point ist auf eine neuartige Schadsoftware gesto\u00dfen, die eine komplette \u00dcbernahme der Systeme durch eine Backdoor erm\u00f6glicht. Zudem kann die Schadsoftware die Kontrolle \u00fcber Social Media-Accounts von Facebook, Google und Sound Cloud \u00fcbernehmen. Die Malware wurde \u00fcber Spiele &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/15\/electron-bot-malware-im-microsoft-store-infiziert-ber-5-000-maschinen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301,3694],"tags":[1018,4328,2085,4378,8257],"class_list":["post-263407","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","category-windows-10","tag-malware","tag-sicherheit","tag-store","tag-windows-10","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263407","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263407"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263407\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263407"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263407"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263407"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}