Une nouvelle campagne de spyware, compatible avec les rootkits, a été découverte. Les pirates informatiques distribuent le logiciel malveillant déguisé en logiciel légitime tel que des lecteurs vidéo, des pilotes et même des produits anti-virus.
Alors que le malware, appelé Scranos a été découvert pour la première fois l’année dernière, il semble toujours être très actif, évoluant constamment, testant de nouveaux composants et améliorant régulièrement les anciens composants, ce qui en fait une menace importante.
Scranos présente une conception modulaire qui permet déjà de voler les identifiants de connexion et les comptes de paiement de divers services populaires, d'exfiltrer l'historique de navigation et les cookies, d'obtenir des abonnés YouTube, d'afficher des annonces publicitaires, ainsi que de télécharger et d'exécuter toute charge utile.
Selon un rapport détaillé de 48 pages que Bitdefender, le logiciel malveillant gagne en persistance sur les ordinateurs infectés en installant un rootkit signé numériquement.
Les chercheurs pensent que les attaquants ont obtenu frauduleusement le certificat de signature qui avait été initialement délivré à Yun Yu Health Consulting Consulting (Shanghai) Co., Ltd et qui n’a pas été révoqué.
Lors de l’infection, le programme malveillant associe un programme de téléchargement à un processus légitime qui communique ensuite avec le serveur Command-and-Control (C&C) contrôlé par l’attaquant et télécharge un ou plusieurs payloads.
Certaines autres charges utiles peuvent même interagir avec divers sites Web au nom de la victime, telles que:
- YouTube subscriber payload : Cette charge utile manipule les pages YouTube en exécutant Chrome en mode débogage, invitant le navigateur à effectuer diverses actions sur une page Web, telles que démarrer une vidéo, couper une vidéo, s'abonner à une chaîne et cliquer sur des annonces.
- Facebook Spammer Payload : En utilisant les cookies collectés et d'autres jetons, les attaquants peuvent ordonner aux logiciels malveillants d'envoyer des demandes d'amis Facebook à d'autres utilisateurs. Il peut également envoyer des messages privés aux amis Facebook de la victime avec des liens vers des APK Android malicieux.
- Android Adware App : Déguisée en application légitime ""Accurate scanning of QR code" disponible sur Google Play Store, l'application de malware affiche de manière agressive les annonces, suit les victimes infectées et utilise le même serveur C&C que le malware Windows.
Selon la télémétrie recueillie par les chercheurs de Bitdefender, Scranos vise les utilisateurs du monde entier, mais "cela semble plus répandu en Inde, en Roumanie, au Brésil, en France, en Italie et en Indonésie".
Le plus ancien échantillon de ce malware date de novembre 2018, avec une flambée massive en décembre et janvier, mais en mars 2019 Scranos a commencé à promouvoir d'autres types de malware, ce qui, selon les chercheurs, est "un indicateur clair que le réseau est maintenant affilié à des tiers dans des systèmes de paiement à l'installation. "
Source et image : https://thehackernews.com/2019/04/sc...t-spyware.html