El malware, bautizado como Scranos fue descubierto por primera vez el año pasado, está en constante evolución con continuas mejoras, lo que lo convierte en una amenaza significativa.
Scranos se distribuye principalmente en páginas de descargas como software crackeado o troyanizando aplicaciones legítimas como reproductores de vídeo, drivers o incluso antivirus.
Este malware tiene un diseño modular y es capaz de robar credenciales de redes sociales, de banca online, también es capaz de exfiltrar el historial de navegación y las cookies, obtener subscriptores de youtube, mostrar anuncios y descargar otros ejecutables.
De acuerdo con el reporte hecho público por Bitdefender, el malware consigue persistencia mediante la instalación de un rootkit en un driver firmado digitalmente.
Los investigadores creen que los atacantes consiguieron el certificado de manera fraudulenta. Dicho certificado fue expedido a Yun Pu Health Management Consulting (Shangai) Co. Ltd y de momento aun no ha sido revocado.
Una vez que el PC ha sido infectado el malware inyecta un downloader en un proceso legítimo para poder comunicar con el C&C desde el que se descargarán uno o más payloads, dependiendo de las circunstancias.
El rootkit registra un callback shutdown que se activa a la hora de apagar el sistema para lograr persistencia. Este proceso escribe el driver a disco y una nueva clave es añadida en el registro para poder relanzarse en el siguiente inicio.
Entre los payloads que pueden lanzarse se encuentran:
· Robo de credenciales y de historial de navegación de Chrome, Chromium, Firefox, Edge, Internet Explorer, Baidu browser y Yandex. También puede robar cookies de Facebook, Youtube, Amazon y Airbnb.
· Instalador de extensiones. Este otro payload instala extensiones con adware en Chrome para insertar ads en todas las webs que el usuario visite.
· Stealer para Steam. Este componente roba las credenciales del usuario de la plataforma Steam, incluyendo también los juegos instalados.
Este malware también es capaz de interactuar con Youtube y Facebook haciéndose pasar por la víctima para enviar solicitudes de amistad y enviarles spam.
Más información:
https://thehackernews.com/2019/04/scranos-rootkit-spyware.html
Deja una respuesta