Malware modular baseado em Electron foi distribuído por aplicativos de jogos e usa JavaScript carregado dinamicamente para fraude de cliques, manipulação de redes sociais e persistência no Windows.
| Componente | Electron Bot, malware modular distribuído por aplicativos infectados na Microsoft Store, principalmente jogos criados com o framework Electron. |
| Vetor | Instalação de aplicativos aparentemente legítimos da Microsoft Store; ao iniciar o jogo, scripts JavaScript carregados de infraestrutura externa acionam o download, a instalação e a persistência do bot. |
| Impacto | Mais de 5.000 máquinas ativas foram afetadas; o bot executa comandos remotos para fraude de cliques, promoção por SEO e controle automatizado de contas em Facebook, Google e SoundCloud. |
| Prioridade | Inventariar aplicativos de jogos instalados pela Microsoft Store, procurar execução persistente de aplicativos Electron suspeitos e bloquear comunicações com domínios defangados associados à campanha. |
| Artefatos | Foram citados app.asar, main.js, serviceScript, windowsdef.js, 112942.png com conteúdo compactado e atalho LNK para um executável nomeado como atualização de segurança do Windows. |
| IoCs | Infraestrutura mencionada inclui Electron-Bot[.]s3[.]eu-central-1[.]amazonaws[.]com, 11k[.]online e recursos em mediafire[.]com, todos tratados aqui de forma defangada. |
Electron Bot é um malware modular observado em uma campanha com mais de 5.000 máquinas infectadas globalmente. A distribuição ocorreu por aplicativos publicados na Microsoft Store, com predominância de jogos que aparentavam entregar uma experiência comum ao usuário. O elemento crítico é que o aplicativo inicial também funcionava como veículo para carregar scripts remotos e instalar um segundo componente em segundo plano. Essa combinação reduz a suspeita inicial, porque o usuário obtém o software de uma loja oficial, inicia uma aplicação gráfica aparentemente funcional e só depois o fluxo malicioso passa a operar por meio de código JavaScript externo.
A finalidade principal documentada é fraude de cliques, manipulação de tráfego, promoção por SEO e automação de contas em serviços como Facebook, Google e SoundCloud. O bot contém funções para registrar contas, autenticar sessões, comentar publicações e marcar conteúdo como curtido. A atividade não depende de um binário monolítico com todas as capacidades gravadas localmente; o código operacional é baixado em tempo de execução a partir da infraestrutura dos operadores. Essa arquitetura permite alterar comportamento, comandos e módulos sem substituir o aplicativo instalado na vítima.
O uso do Electron é relevante para a defesa porque o framework combina Chromium e Node.js em uma aplicação desktop. Isso dá ao operador um ambiente capaz de renderizar páginas, automatizar navegação, interagir com recursos locais e simular ações de usuário por scripts. O mesmo recurso que permite criar aplicativos multiplataforma também amplia a superfície de abuso quando a aplicação carrega código não confiável de servidores externos. No caso analisado, a aplicação infectada usa arquivos pequenos no pacote local e transfere a lógica real para scripts remotos, dificultando análise estática baseada apenas no conteúdo instalado pela loja.
A cadeia começa quando o usuário instala um dos aplicativos infectados a partir da Microsoft Store. Um exemplo descrito foi um jogo chamado Temple Endless Runner 2, publicado em setembro de 2021 e com quase cem avaliações. Após a instalação, o pacote APPX é colocado no diretório de aplicativos do Windows e executa um arquivo principal de Electron. Dentro do pacote, o arquivo app.asar contém o código-fonte empacotado da aplicação; a análise mostra que os arquivos locais são pequenos porque a maior parte da lógica é obtida dinamicamente durante a execução.
Quando o aplicativo é iniciado, o script principal carrega um arquivo de configuração hospedado em infraestrutura externa. Esse arquivo aponta para scripts necessários ao funcionamento do jogo e inclui um componente identificado como serviceScript. Esse script atua como dropper em JavaScript: ele verifica condições do ambiente, baixa um arquivo com extensão de imagem que na prática contém conteúdo compactado, extrai o material em uma pasta sob o perfil do usuário e prepara um novo aplicativo Electron como etapa persistente. A extensão .png em um arquivo compactado é um artefato relevante para detecção, porque combina aparência inofensiva com estrutura interna incompatível.
Antes de continuar a instalação, o dropper verifica a presença de produtos antivírus por uma lista embutida. Se uma solução de segurança da lista é identificada, a execução maliciosa é interrompida. Essa condição indica tentativa de reduzir exposição a ambientes monitorados e melhorar a taxa de sobrevivência da campanha. Depois da extração, o dropper renomeia um arquivo sem extensão para app.asar, fazendo com que o Electron reconheça o pacote de código. Em seguida, cria um atalho LNK para um executável apresentado como Windows Security Update e posiciona esse atalho na pasta de inicialização do usuário, o que faz o bot iniciar no próximo logon.
Após a persistência, o malware carrega um pequeno script JavaScript de 11k[.]online, descrito como windowsdef.js, e esse script busca o main.js hospedado no domínio C2 defangado associado ao nome Electron Bot. Esse main.js concentra as capacidades do bot, enquanto um arquivo de configuração adicional define comandos e condições de execução. Algumas ações são associadas a listas de países, de modo que determinados comandos só são aplicados quando a geolocalização da máquina infectada está presente na configuração. Essa lógica permite segmentação operacional sem exigir uma nova versão do aplicativo malicioso.
A superfície exposta envolve estáções Windows que instalaram aplicativos infectados pela Microsoft Store, especialmente jogos construídos com Electron e publicados por contas relacionadas à campanha. A confiança do usuário na loja oficial é parte do vetor: avaliações e aparência de distribuição legítima reduzem a fricção de instalação. A notícia também cita que jogos populares ou imitações de nomes conhecidos, como Temple Run e Subway Surfer, foram encontrados como maliciosos. Não há indicação de que todo aplicativo com esses nomes seja malicioso; o ponto técnico é que a campanha abusou de aplicativos de jogo específicos para entregar o bot.
O impacto confirmado concentra-se em automação abusiva e monetização por tráfego: clique em anúncios, promoção de resultados de busca, aumento artificial de visualizações, comentários e curtidas em serviços sociais. O texto também destaca que a arquitetura poderia permitir mudança futura para uma etapa mais arriscada, como outro malware, mas essa possibilidade deve ser tratada como risco condicionado pela capacidade de carregamento dinâmico, não como ocorrência confirmada nessa campanha. Para defesa, o limite importante é que a máquina infectada passa a executar comandos externos e a abrir sessões de navegação automatizada sob controle do operador.
- Estáções Windows com jogos ou aplicativos Electron instalados a partir da Microsoft Store e relacionados à campanha.
- Ambientes em que atalhos de inicialização do usuário podem iniciar executáveis sem validação centralizada.
- Endpoints com conexões periódicas para infraestrutura externa usada para baixar JavaScript, configuração e pacotes compactados disfarçados.
- Contas de redes sociais usadas no mesmo navegador ou ambiente que possam ser expostas a automação abusiva, criação de sessão ou manipulação de engajamento.
A investigação deve correlacionar instalação recente de aplicativos da Microsoft Store com execução incomum de processos Electron e criação de persistência na pasta de inicialização. Um ponto de alta utilidade é procurar aplicativos com app.asar mínimo, scripts locais muito curtos e dependência de configurações externas para carregar a lógica real. Em endpoints, eventos de criação de arquivo com extensão incompatível, como imagem que contém arquivo compactado, também são fortes candidatos a triagem. O nome visual de atualização de segurança do Windows em um caminho de usuário deve ser tratado como suspeito quando não corresponder ao mecanismo legítimo de atualização do sistema.
Na rede, a telemetria deve priorizar requisições HTTP ou HTTPS para domínios defangados associados à campanha, recursos em armazenamento de nuvem pública e downloads de JavaScript a partir de domínios que não pertencem ao fornecedor do aplicativo instalado. Como o bot imita navegação humana com Chromium, a detecção não deve depender apenas de volume de tráfego. É necessário combinar periodicidade de beacon, origem do processo, cadeia de processo pai-filho, criação de janelas ocultas e acessos subsequentes a plataformas sociais ou mecanismos de busca.
A análise de comportamento também deve observar ações de automação típicas de fraude: navegação em páginas de anúncios, cliques em elementos, alteração de cabeçalhos HTTP, rolagem, digitação simulada e acesso repetitivo a resultados de busca ou páginas de promoção. O contexto menciona modos operacionais como IDLE, POPUNDER, DIRECTLINK, FAST, MEDIUM e BANNER; esses nomes podem aparecer em configuração, memória, scripts baixados ou registros de inspeção de conteúdo. Como a carga é dinâmica, uma coleta única do disco pode não revelar a funcionalidade ativa no momento da infecção.
- Criação de atalho LNK na pasta de inicialização apontando para executável com nome semelhante a atualização de segurança em diretório de usuário.
- Download de arquivo com extensão
.pngcujo conteúdo real é compactado, seguido de extração para pasta sobAppData\Local\Packages. - Execução de aplicativo Electron que baixa
windowsdef.js,main.jsou arquivos de configuração de domínios externos defangados. - Conexões para
11k[.]online,Electron-Bot[.]s3[.]eu-central-1[.]amazonaws[.]comou recursos associados emmediafire[.]com, avaliadas sem transformar os indicadores em links ativos. - Padrões de navegação automatizada envolvendo mecanismos de busca, anúncios, SoundCloud, Google ou Facebook a partir de processo Electron não aprovado.
A resposta deve começar pelo inventário dos aplicativos instalados pela Microsoft Store e pela remoção controlada de jogos associados à campanha. Em seguida, é necessário validar se há persistência remanescente na pasta de inicialização, diretórios criados sob o perfil do usuário e pacotes Electron extraídos fora do caminho esperado do aplicativo original. Como o bot inicia no próximo startup, a contenção precisa cobrir tanto o processo em execução quanto o mecanismo de reinício automático. Bloqueios de rede para a infraestrutura defangada citada ajudam a interromper o recebimento de comandos, mas não substituem a limpeza do endpoint.
Em ambientes corporativos, a mitigação mais robusta é restringir a instalação de aplicativos da loja a listas permitidas, aplicar reputação e validação de publisher, monitorar criação de atalhos de inicialização e exigir inspeção de comportamento para aplicativos Electron que carregam código remoto. O fato de a campanha usar uma loja oficial mostra que confiança baseada apenas no canal de distribuição não é suficiente. Aplicações que baixam JavaScript operacional de domínios externos, especialmente quando o pacote local contém pouca lógica, devem passar por revisão mais rigorosa antes de serem liberadas em estáções gerenciadas.
Depois da remoção, equipes de segurança devem revisar contas sociais usadas no endpoint afetado, procurar sinais de autenticação anômala e revogar sessões quando houver suspeita de automação abusiva. Também é recomendado preservar amostras internas de telemetria defensiva, como eventos de criação de processo, DNS, proxy, EDR e alterações de inicialização, para confirmar o escopo. A campanha tem histórico de evolução desde uma atividade de ad clicker observada em 2018, portanto a detecção deve focar o padrão arquitetural, não apenas nomes de arquivo ou domínios específicos.
- Remover aplicativos associados à campanha e validar se nenhum componente Electron secundário permaneceu em diretórios do perfil do usuário.
- Excluir atalhos de inicialização suspeitos apenas após registrar caminho, hash interno e cadeia de processo para investigação.
- Bloquear e monitorar comunicação com os domínios defangados citados e com downloads de scripts JavaScript por aplicativos de jogos não aprovados.
- Aplicar política de lista permitida para Microsoft Store em ambientes corporativos, com revisão de publisher e comportamento de rede.
- Revisar sessões e atividades de contas sociais usadas em máquinas infectadas, buscando curtidas, comentários, criações de conta ou acessos não reconhecidos.
- Criar detecções comportamentais para Electron carregando código remoto, arquivo compactado com extensão de imagem, persistência por LNK e navegação automatizada em janela oculta.
0 Comentários