Scranos: Se descubrió nuevo spyware habilitado para rootkit

Iniciado por Dragora, Abril 17, 2019, 02:32:13 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Abril 17, 2019, 02:32:13 PM Ultima modificación: Abril 17, 2019, 03:37:07 PM por Gabriela

Scranos: Se descubrió nuevo spyware habilitado para rootkit que evoluciona rápidamente


Se ha descubierto una nueva y poderosa operación de spyware habilitada para rootkits en la que los piratas informáticos distribuyen malware multifuncional disfrazado de software descifrado o aplicación troyana que se presenta como software legítimo como reproductores de video, controladores e incluso productos antivirus.
Si bien el malware de rootkit, denominado Scranos, que se descubrió a fines del año pasado, aún parece ser un trabajo en progreso, está en continua evolución, probando nuevos componentes y mejorando regularmente los componentes antiguos, lo que lo convierte en una amenaza significativa.
Scranos cuenta con un diseño modular que ya ha adquirido capacidades para robar credenciales de inicio de sesión y cuentas de pago de diversos servicios populares, eliminar el historial de navegación y las cookies, obtener suscriptores de YouTube, mostrar anuncios, así como descargar y ejecutar cualquier carga útil.


Según un informe en profundidad de 48 páginas que Bitdefender compartió con The Hacker News antes de su lanzamiento, el malware gana persistencia en las máquinas infectadas al instalar un controlador de rootkit firmado digitalmente.
Los investigadores creen que los atacantes obtuvieron el certificado de firma de código digital válido de manera fraudulenta, que originalmente se emitió a Yun Yu Health Management Consulting (Shanghai) Co., Ltd. y no se ha revocado en el momento de escribir este artículo.


"El rootkit registra una devolución de llamada de apagado para lograr la persistencia. En el cierre, el controlador se escribe en el disco y se crea una clave de servicio de inicio en el Registro", dicen los investigadores.


Tras la infección, el malware del rootkit inyecta un descargador en un proceso legítimo que luego se comunica con el servidor de Comando y Control (C&C) controlado por el atacante y descarga una o más cargas útiles.


Aquí hemos enumerado algunos datos y datos útiles de robo de
contraseñas :


Contraseña e historial de navegación Robo de carga útil : el dropper principal roba las cookies y las credenciales de inicio de sesión de Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu Browser y Yandex . También puede robar cookies e información de inicio de sesión de las cuentas de las víctimas en Facebook, YouTube, Amazon y Airbnb.


Extensión de carga útil del instalador : esta carga instala extensiones de adware en Chrome e inyecta anuncios maliciosos o cargados de malware en todas las páginas web que visitan los usuarios. Algunos ejemplos también encontraron la instalación de extensiones de navegador falsas, como Chrome Filter, Fierce-tips y PDF Maker.



Carga de datos de Steam Stealer : este componente roba y envía las credenciales e información de la cuenta Steam de las víctimas, incluida la lista de aplicaciones y juegos instalados, así como la versión codificada, al servidor del atacante.


Malware interactúa con Facebook y YouTube en nombre de las víctimas



Algunas otras cargas pueden incluso interactuar con varios sitios web en nombre de la víctima, como por ejemplo: la
carga útil del suscriptor de YouTube : esta carga manipula las páginas de YouTube ejecutando Chrome en modo de depuración, indicando al navegador que realice varias acciones en una página web, como comenzar un video, silenciar una Vídeo, suscribirse a un canal, y hacer clic en anuncios.




Carga de spam de Facebook : mediante el uso de cookies recopiladas y otros tokens, los atacantes pueden ordenar que el malware envíe las solicitudes de amistad de Facebook a otros usuarios. También puede enviar mensajes privados a los amigos de Facebook de la víctima con enlaces a APK de Android maliciosos.


Aplicación de software publicitario para Android : disfrazada de la legítima aplicación "Escaneo preciso de código QR" disponible en Google Play Store, la aplicación de malware muestra agresivamente anuncios, rastrea a las víctimas infectadas y utiliza el mismo servidor de C&C que el malware de Windows.



Scranos roba información de pago de sitios web populares


Aquí está la lista de DLL contenidas en el dropper principal:


DLL de Facebook : esta DLL extrae información sobre las cuentas de usuario de Facebook, incluidas sus cuentas de pago, su lista de amigos y si son administradores de una página.


DLL de Amazon : esta DLL extrae información de la cuenta de Amazon del usuario. Los investigadores incluso encontraron una versión de esta DLL que ha sido diseñada para extraer información de las cuentas de Airbnb registradas.

Según la telemetría recopilada por los investigadores de Bitdefender, Scranos está apuntando a usuarios de todo el mundo, pero "parece ser más frecuente en India, Rumania, Brasil, Francia, Italia e Indonesia".


La muestra más antigua de este malware se remonta a noviembre de 2018, con un pico masivo en diciembre y enero, pero en marzo de 2019, Scranos comenzó a impulsar otras cepas de malware, lo que, según los investigadores, es "un claro indicador de que la red ahora está afiliada". Terceros en esquemas de pago por instalación. "




Vía: thehackernews.


Y todavía los hay que dicen que los Rootkit están muertos...
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta