SKADEVARE

Denne skadevaren kan kapre Facebook-kontoen din – rammer brukere i Skandinavia

Check Point advarer.

Check Point har oppdaget ny skadevare som spres via Microsoft Store.
Check Point har oppdaget ny skadevare som spres via Microsoft Store. Foto: Colourbox/27131526
25. feb. 2022 - 19:00

Sikkerhetsselskapet Check Point Research melder nå om en ny skadevare som brukere av sosiale medier bør være oppmerksomme på. Den kan nemlig ta over kontoene dine.

Den nye skadevaren er døpt Electron Bot og spres primært gjennom Microsoft Store via diverse ondsinnede applikasjoner som bakmennene laster opp med jevne mellomrom – hovedsakelig spill.

Kan tukle med sosiale medier-kontoer

Ifølge Check Point inneholder skadevaren funksjoner som kan brukes til å kontrollere kontoer hos sosiale medier, deriblant Facebook og Google, ved å registrere nye kontoer, logge inn på kontoen samt kommentere og «like» andre personers innlegg.

Programvaren har imidlertid flere andre egenskaper og omtales blant annet av sikkerhetsselskapet som en «modulær SEO-forgiftende skadevare».

SEO-forgiftning er en angrepsmetode der bakmennene lager ondsinnede nettsteder for å påvirke søkemotoroptimaliseringen, slik at de vises høyt oppe blant søkeresultatene og dermed har stor sjanse for å bli klikket på.

I tillegg brukes skadevaren til såkalt klikksvindel – en type svindel som brukes til å generere inntekter for angriperen ved kunstig å øke trafikken hos bestemte nettsider eller gjennom «pay per click»-modeller.

Promotering

Programvaren brukes også til å promotere kontoer på sosiale medier for å dirigere brukere til spesifikke typer innhold og øke antallet visninger – og dermed også antallet annonseklikk. Den promoterer også bestemte produkter på nettet, både for å skape flere annonseklikk og for å øke eksponeringen og salget til butikker.

Skadevaren fikk navnet Electron Bot fordi den baserer seg på Electron-rammeverket – et rammeverk som benyttes til å bygge kryssplattformapplikasjoner med JavaScript, HTML og CSS. Check Point sier skadevaren bruker rammeverket til å imitere menneskelig adferd og unngå sikkerhetsmekanismer på nettet.

Selv om programvaren ikke har egenskaper som medfører høy risiko for offeret på nåværende tidspunkt, peker sikkerhetsselskapet på at bakmennene på en enkel og skjult måte kan endre egenskapene til en vesentlig mer skadelig sort.

– Siden skadevarens nyttelast lastes inn dynamisk hver gang programvaren kjøres, kan angriperne modifisere koden og endre adferden til høyrisiko. For eksempel kan bakmennene initiere en sekundær fase og laste en ny skadevare, slik som løsepengevirus eller en RAT (remote access trojan). Alt dette kan skje uten offerets viten, skriver Check Point.

Kamuflert som populære spill

Electron Bot skal ha rammet flere tusen brukere så langt, hvorav de fleste befinner seg i Spania, Bulgaria, Russland og Sverige – noe som altså innebærer at den skandinaviske regionen er rammet, uten at Norge er spesifikt nevnt.

Sikkerhetsselskapet har identifisert ondsinnede utgaver av blant annet flere populære spill som er blitt brukt til å spre skadevaren, deriblant titler som Temple Run og Subway Surfer. I tillegg er flere utviklernavn assosiert med skadevaren blitt identifisert. Navnene er som følger:

  • Lupy games
  • Crazy 4 games
  • Jeuxjeuxkeux games
  • Akshi games
  • Goo Games
  • Bizzon Case

Check Point sier de har kontaktet Microsoft om funnene. Selskapet skal være i ferd med å undersøke saken.

For at man skal unngå å bli rammet av ondsinnede applikasjoner, fraråder sikkerhetsselskapet å laste ned applikasjoner med få anmeldelser og kun stole på apper med gode, konsistente og pålitelige omtaler. Mistenkelige navn som ikke er identiske med originalnavnet, er et annet rødt flagg.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
På trappene til internasjonal suksess
På trappene til internasjonal suksess

Mer informasjon finner du i Check Point Research' egen rapport.

Illustrasjonsbilde.
Les også

Denne Android-skadevaren stjeler bankdata – og kan slette alt på mobilen din

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.