Un nuevo malware, que ha sido bautizado como 'Electron Bot, puede ejecutar continuamente comandos de los ciberdelincuentes, llegando a controlar cuentas de redes sociales, en Facebook, Google y Sound Cloud. La amenaza abre la puerta a registrar nuevas cuentas, iniciar sesión y hasta dar Me gusta o dejar comentarios.
Según se hace eco la compañía de seguridad Check Point, Electron Bot es un malware modular de envenenamiento SEO, que se utiliza para la promoción en redes sociales y el fraude de clics.
Los cibermalos han escogido la tienda de aplicaciones de Microsot para su distribución. Así, ha conseguido ocultarse en docenas de apps, principalmente videojugos que se suben una y otra vez.
Aunque se acaba de alertar de su presencia, el malware llevaría ya cuatro años en danza. comenzó como una campaña de clicker de anuncios descubierta a finales de 2018. El malware en cuestión se escondía en la tienda de Microsoft como una app llamada Album by Google Photos que decía ser publicada por Google LLC. Ha evolucionado a lo largo de los años, añadiendo nuevas características y técnicas a su arsenal.
Su nombre se debe a que está desarrollado con Electron, un marco de trabajo para crear aplicaciones de escritorio multiplataforma utilizando scripts web. El marco combina el motor de renderizado Chromium y el tiempo de ejecución Node.js, dándole las capacidades de un navegador controlado por scripts como JavaScript.
Electron Bot es capaz de imitar el comportamiento de la navegación humana y evadir las protecciones de los sitios web. Los atacantes pueden modificiar la carga útil de malware y modificar su comportamiento para urdir el engaño. Hasta la fecha ha afectado a más de 5.000 equipos.
Una amenaza de origen búlgaro
Un aspecto curioso es que la cuenta de SoundCloud y el canal de YouTube que el bot promociona se muestran con el nombre de Ivaylo Yordanov, un popular jugador de fútbol búlgaro y entrenador. Además, Bulgaria sería el país más promocionado en su código fuente. Para más inri, todas las variantes de 2019 a 2022 se subieron a Mediafire desde Bulgaria, con lo que su origen está bastante claro.
Sin embargo, los objetivos por ahora apuntan a otras geografías. La mayoría de las víctimas hasta el momento son de España, Suecia, Israel o Bermudas.
Se han encontrado docenas de apps infectadas, con títulos tan populares como Temple Run o Subway Surfer, que hacían de 'porteadores' del código malicioso.
En cualquier caso la firma de seguridad ya ha puesto en conocimiento de Microsoft todos los distribuidores de videojuegos identificados que tienen relación con la campaña.
"Electron-Bot se descarga y se propaga fácilmente desde la plataforma oficial de la tienda de Microsoft. El framework Electron proporciona a las aplicaciones Electron acceso a todos los recursos informáticos, incluida la computación GPU. Como el payload del bot se carga dinámicamente en cada tiempo de ejecución, los atacantes pueden modificar el código y cambiar el comportamiento del bot a alto riesgo", comentan los investigadores de CheckPoint.
Según aseguran, el malware es capaz de "inicializar otra segunda etapa y enviar un nuevo malware como un ransomware o una RAT. Todo esto puede ocurrir sin el conocimiento de la víctima".
Para la compañía de seguridad, uno de los aspectos más peligrosos de esta amenaza es el canal que está usando para su distribución. "La mayoría de las personas piensan que se puede confiar en las reseñas de las tiendas de aplicaciones, y no dudan en instalar una app desde allí. Esto conlleva un riesgo increíble, ya que nunca se sabe qué elementos maliciosos se pueden estar descargando", alerta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.