Specialiștii în securitate informatică de la Bitdefender au descoperit o amenințare informatică agresivă pe care au denumit-o Scranos si care se ascunde pe dispozitivul infectat avand acces la toate datele personale ale victimei.
Amenințarea Scarnos se răspândește rapid la nivel global, cu activitate extrem de intensă în România, India, Brazilia, Franța, Italia și Indonezia. Scranos infectează dispozitivul utilizatorului atât prin aplicații aparent legitime, precum e-readere, playere video, drivere sau chiar soluții de securitate, cât și prin programe instalate ilegal.
Odată instalat pe sistem, Scranos se ascunde cu ajutorul unui rootkit (un driver software) și poate spiona victima până în cele mai mici detalii. Astfel, amenințarea poate extrage datele de acces la diverse site-uri din browsere precum Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu Browser și Yandex, poate sustrage datele de plată din pagini de internet precum Facebook, Amazon și Airbnb, dar și să trimită cereri de prietenie și mesaje cu linkuri infectate de pe contul de Facebook al victimei sau să o aboneze la diferite canale de YouTube. Dintre canalele de YouTube promovate de către atacatori și monitorizate de Bitdefender, unul a strâns peste 3.100 de abonați într-o singură zi.
Mai mult, Scranos poate sustrage tot istoricul de navigare pe internet și poate descărca și executa fișiere la discreția atacatorilor. Aproape două treimi dintre victime folosesc sistemul de operare Windows 10, iar un sfert sunt utilizatori de Windows 7.
Toate mostrele identificate arată că operațiunea, începută în luna noiembrie 2018, cu vârfuri de activitate în decembrie 2018 și ianuarie 2019, a intrat acum în faza de consolidare. După luna martie, serverele de comandă și control ale atacatorilor au început să disemineze și alte mostre de amenințări informatice, un semnal clar că rețeaua grupării infracționale este folosită contra cost și de către terți ca să instaleze pe dispozitivele victimelor propriile programe infectate.
Semnătura digitală a driverului care maschează amenințarea Scranos, emisă pentru Yun Yu Health Management Consulting (Shanghai) Co., Ltd, nu a fost revocată până la momentul publicării acestei cercetări pentru suspiciuni clare de activități frauduloase. Bitdefender a informat autoritatea emitentă a certificatului digital despre compromiterea și folosirea neadecvată a acestuia.
Pentru a evita infectarea cu Scranos, recomandările pentru utilizatori sunt să descarce și să instaleze numai aplicații licențiate, să folosească o soluție de securitate performantă și să actualizeze mereu sistemul de operare și programele folosite la cea mai recentă versiune.
„Motivațiile sunt strict comerciale”, a declarat Bogdan Botezatu, director de cercetare și raportare a amenințărilor la Bitdefender, într-un e-mail. „Atacatorii par să fie interesați să răspândească botnet-ul pentru a consolida afacerea prin infectarea cât mai multor dispozitive posibile pentru a efectua abuzuri publicitare și pentru a le folosi ca platformă de distribuție pentru malware-ul terță parte”, a spus el.
Bitdefender a descoperit că malware-ul se răspândește prin descărcări de tip troian care se maschează ca aplicații reale, cum ar fi playere video și cititoare de cărți electronice. Aplicațiile infecatet sunt semnate digital – probabil dintr-un certificat generat în mod fraudulos – pentru a împiedica blocarea computerului. „Folosind această abordare, hackerii sunt mai predispuși să infecteze țintele”, a spus Botezatu. Odată instalat, rootkit-ul intra in standby pentru a-și menține prezența și pentru a apela serverul de comandă și control pentru a descărca componente suplimentare rău intenționate. Dropperii din stadiul al doilea injectează bibliotecile de cod personalizate în browserele obișnuite – Chrome, Firefox, Edge, Baidu și Yandex pentru a enumera câteva – pentru a viza conturile Facebook, YouTube, Amazon și Airbnb, colectând date ce sunt a trimise înapoi la operatorul malware.
O altă componentă care poate fi descărcată permite aplicației malware să trimită spam-uri prietenilor de pe Facebook ale unei persoane care a cazut victimă atacului cu mesaje de phishing. Prin sifonarea unui cookie de sesiune al utilizatorului, acesta trimite un link rău intenționat la o aplicație adware Android pe un mesaj de chat.
„În cazul în care utilizatorul este conectat la un cont Facebook, acesta împerechează utilizatorul și extrage datele din cont vizitând anumite pagini web de pe computerul utilizatorului, pentru a evita apariția suspiciunii declanșând o alertă necunoscută pe dispozitiv”, se arată în raport. „Poate extrage numărul de prieteni și dacă utilizatorul administrează orice pagini sau are informații de plată în cont”. Malware-ul încearcă, de asemenea, să fure cookie-urile de sesiune Instagram și numărul de utilizatori pe care acesta ii urmareste.
Alte componente rău intenționate permit malware-ului să fure date din conturile Steam, să injecteze adware în Internet Explorer, să execute extensii Chrome infectate și să colecteze și să încarce istoricul de navigare al unui utilizator.
„Aceasta este o amenințare extrem de sofisticată care a necesitat mult timp și efort pentru a fi creeata”, a spus Botezatu. Cercetătorii cred că botnet-ul are zeci de mii de dispozitive deja încărcate – cel puțin.
„Malware-ul bazat pe rootkit arată un nivel neobișnuit de sofisticare și dedicație”, a spus el.