虽然在经过倡导之後，大家都知道从官方管道下载应用与软体是最安全安心的方式，不过近来的消息又让人不由得把心又提到嗓子眼。安全研究单位在 Microsoft 商店中发现以知名游戏的外皮包裹的恶意病毒，当然这些都是假冒的，下载就直接在你的电脑中大开後门，至於後手会做些什麽还真是难以预测。

Microsoft 商店中出现假冒知名游戏的恶意软体

安全研究单位 Check Point 近日发现一款名为「Electron Bot」的模组化恶意软体，透过伪装成《Subway Surfer》和《Temple Run》等数十款知名的热门游戏与应用偷偷进驻微软官方商店，使得目前大约有 5,000 部电脑受到感染。这支恶意软体是一个後门程式，使不肖人士能够完全控制受感染的电脑，进而执行远端下达的指令与即时资讯传递。

因为 Electron Bot 支援在社群平台上注册、评论和点击喜欢的新帐户，利用 Electron Bot 的恶意人士主要目标是社群媒体的推广与点击诈骗，透过控制 Facebook、Google、YouTube 和 SoundCloud 上的社群帐号来实现。该恶意软体是用 Electron 编写因此得名，它可以类比自然的用户浏览行为并执行操作，就好像是真正的网站用户一样。最早是在 2018 年首度发现这支恶意软体，当时早期的 Electron Bot 变种以「Google Photos 相簿」之名提送给 Microsoft 商店，并以假的 Google LLC 之名发行。从那时起，恶意软体开发者在其工具中加入几个如动态脚本载入等新功能与高阶侦测规避功能。

Check Point 研究人员分析 Electron Bot 的持续活动中主要目标是下面几项，这些功能作为服务提供给那些想要以投机取巧的方式增加网路线上利润的人，因此恶意软体经营者可以获得间接收益：

• SEO中毒 – 建立在 Google 搜寻结果中排名靠前的恶意软体抛弃式网站
• 广告点击 – 在後台连接到远端网站，然後点击不可查看的广告
• 社交媒体帐号推广 – 将流量定向到社交媒体平台上的特定内容
• 线上产品促销 – 透过点击其广告来提高商店中的评等

它的感染传播方式最开始是让受害者从 Microsoft 商店里下载带有後门的应用程式，因为 Microsoft 商店是官方经营，大家的警觉心也会降低。启动该应用程式後，JavaScript dropper 在後台动态载入，以获取 Electron Bot 有效负载并安装它。在下一次系统启动时，恶意软体也会跟着执行连接到 C2，检索远端的配置并执行任何远端下达的指令，由於主脚本是在运行时动态载入，因此在电脑记忆体中的 JS 档非常小，看起来就像无害的小绵羊一般。

▲运行脚本

▲感染链

由於这些被 Check Point 检测到的内含恶意病毒游戏都具备完整的游戏功能，仅在背景执行恶意软体，使得这些游戏在 Microsoft 商店中都拥有很高的用户评价，像是 2021 年 9 月 6 日上架的 《Temple Endless Runner 2》 在 92 条评论中获得了接近完美的五星评等。当然，恶意人士会不断更新诱饵，并使用不同的游戏标题和应用程式将恶意软体有效载荷传递给毫无戒心的受害者。

以目前来说，下面这些发行商是已经确认推出内含恶意软体的名单：

• Lupy games
• Crazy 4 games
• Jeuxjeuxkeux games
• Akshi games
• Goo Games
• Bizzon Case

这边要强调的是，虽然现有版本的 Electron Bot 部会对受感染的电脑造成灾难性的损害，但恶意人士可能会透过修改程式的方式注入第二阶段的有效附载，例如执行 RAT 或是勒索病毒。Check Point 建议用户避免下载评论计数较少的应用程式，在下载前也要仔细检查开发者、发行人的详细资讯，并确保应用程式名称完全正确且未出现模拟两可的混淆式拼写。