Scranos, un rootkit puternic, își extinde operațiunile în România

Bitdefender a identificat o operațiune ce se extinde peste granițele Chinei, iar aceasta a ajuns și in România. Fanii ”aplicațiilor piratate” sunt cei mai vulnerabili deoarece acesta se răspândește și prin aceste metode des utilizate în România.

Cei de la Bitdefender au confirmat că Scranos este un rootkit, iar acest tip de malware este destul de greu de identificat/observat deoarece folosește un certificat semnat digital, posibil furat, rootkit ce are capacități de a porni automat la bootare.

Cu toate că experții în securitate mai sus menționați descriu Scranos ca fiind un ”malware în lucru cu multe componente în primele stagii ale dezvoltării”, acesta este destul de puternic în momentul de față.

Odată instalat în calculatoarele voastre, rootkitul poate apela centrul de comanda (C&C) pentru instrucțiuni adiționale, în urma cărora poate downloada module noi de execuție.

Acesta nu se ridică la standardele altor rootkituri identificate dar și în momentul de față, acesta dispune de destule module astfel încă datele voastre personale să fie expuse la risc. În același timp, acesta are și capacități ”adware” care pot deveni stresante pentru utilizatori, iar pentru cei care controlează operațiunea, destul de bănoase.

Modulele instalate momentan pot realiza următoarele acțiuni:

• Extragere de cookieuri și furt de credențiale din Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edege, Internet Explorer, Baidu Browser și Yandex Browser. Mai pe românește, din majoritatea browserelor răspândite pe întreg mapamondul.
• Furt al datelor de plată direct din contul de Facebook, Amazon și Airbnb.
• Trimitere de cereri de prietenie către alte conturi prin intermediul contului de Facebook al celui infectat.
• Trimitere de mesaje de tip phishing prin intermediul Facebook către prietenii persoanei infectate. Aceste mesaje conțin fișiere APK malițioase ce au ca scop infectarea dispozitivelor Android.
• Furt de credențiale ale contului de Steam.
• Injecta JavaScript cu scop de adware în Internet Explorer.
• Instala extensii de Chrome/Opera pentru a injecta mai departe adware tip JavaScript pe aceste browsere.
• Retragere de browsing history al persoanei infectate.
• Afișare de reclame sau poate rula cilpuri de pe Youtube în mod silențios prin intermediul browserului Chrome. Anumite module pot instala Chrome pe dispozitivele respective în caz că acesta nu este prezent.
• Abonare la canale de Youtube.
• Download și executare de alt malware/etc.

Primele răspândiri au apărut în China dar în cazul de față acest rootkit și-a extins operațiunile în India, Brazilia, Franța, Italia, Indonesia și în România.

Partea proastă este că acest rootkit poate infecta toate versiunile de Windows (de la XP până la 10), majoritatea victimelor infectate având deja instalat Windows 7 și 10.

Cei de la Bitdefender confirmă că această operațiune evoluează constant iar funcționalitățile noi sunt dezvoltate. Dezvoltatorii le creează de la 0 pentru a crește dificultatea de identificare a malwareului de către antiviruși.

Pentru cei dornici de mai multe detalii tehnice, cei de la Bitdefender au realizat un rezumat al investigațiilor sale.

Cei care sunt afectați de acest rookit au și instrucțiuni de curățare în rezumatul meționat mai sus.

Dacă ați fost afectați de acest de acest rootkit vă aștept să vă împărtășiți experiențele pe pagina de Facebook.