Scranos: Spyware Rootkit-Diaktifkan Aktif Yang Baru Berkembang Ditemukan - Otak Kita

Scranos: Spyware Rootkit-Diaktifkan Aktif Yang Baru Berkembang Ditemukan


OtakKita - Operasi spyware yang diaktifkan rootkit baru yang kuat telah ditemukan di mana para peretas mendistribusikan malware multifungsi yang disamarkan sebagai perangkat lunak retak atau aplikasi trojan yang menyamar sebagai perangkat lunak yang sah seperti pemutar video, driver dan bahkan produk anti-virus.

Sementara malware rootkit — dijuluki Scranos — yang pertama kali ditemukan akhir tahun lalu, masih tampak sedang dalam proses, malware ini terus berkembang, menguji komponen-komponen baru dan secara teratur melakukan perbaikan pada komponen-komponen lama, yang menjadikannya ancaman signifikan.

Scranos memiliki desain modular yang telah memperoleh kemampuan untuk mencuri kredensial masuk dan akun pembayaran dari berbagai layanan populer, mengekstrak riwayat penelusuran dan cookie, mendapatkan pelanggan YouTube, iklan bergambar, serta mengunduh dan mengeksekusi muatan apa pun.

Menurut laporan mendalam 48 halaman yang Bitdefender bagikan dengan The Hacker News sebelum dirilis, malware ini mendapatkan ketekunan pada mesin yang terinfeksi dengan menginstal driver rootkit yang ditandatangani secara digital.

Para peneliti percaya penyerang memperoleh sertifikat penandatanganan kode digital yang valid secara curang, yang semula dikeluarkan untuk Yun Yu Health Management Consulting (Shanghai) Co., Ltd. dan belum dicabut pada saat penulisan.

    "Rootkit mendaftarkan panggilan balik Shutdown untuk mencapai kegigihan. Saat ditutup, driver ditulis ke disk, dan kunci layanan start-up dibuat di Registry," kata para peneliti.


Setelah terinfeksi, malware rootkit menyuntikkan pengunduh ke proses yang sah yang kemudian berkomunikasi dengan server Command and and Control (C&C) yang dikendalikan penyerang dan mengunduh satu atau lebih muatan.

Di sini kami telah membuat daftar beberapa muatan data dan pencurian kata sandi:

Sandi dan Riwayat Penelusuran Mencuri Muatan - Penetes utama mencuri cookie browser dan kredensial masuk dari Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer, Browser Baidu dan Yandex. Itu juga dapat mencuri cookie dan info masuk dari akun korban di Facebook, YouTube, Amazon, dan Airbnb.

Payload Installer Ekstensi - Payload ini menginstal ekstensi adware di Chrome dan menyuntikkan iklan yang berbahaya atau sarat malware pada semua halaman web yang dikunjungi pengguna. Beberapa sampel juga ditemukan memasang ekstensi browser palsu, seperti Filter Chrome, Fierce-tips dan PDF Maker.

Payload Pencuri Data Steam - Komponen ini mencuri dan mengirimkan kredensial dan informasi akun Steam para korban, termasuk daftar aplikasi dan permainan yang diinstal, serta versi hardcoded, ke server penyerang.

Malware Berinteraksi dengan Facebook dan YouTube atas Nama Korban

Beberapa muatan lainnya bahkan dapat berinteraksi dengan berbagai situs web atas nama korban, seperti:

Payload pelanggan YouTube - Payload ini memanipulasi halaman YouTube dengan menjalankan Chrome dalam mode debugging, menginstruksikan browser untuk mengambil berbagai tindakan pada halaman web seperti memulai video, membisukan video, berlangganan saluran, dan mengklik iklan.


Muatan Spammer Facebook - Menggunakan cookie yang dikumpulkan dan token lainnya, penyerang dapat memerintahkan malware untuk mengirim permintaan teman Facebook ke pengguna lain. Itu juga dapat mengirim pesan pribadi ke teman-teman Facebook korban dengan tautan ke APK Android berbahaya.

Android Adware App - Menyamar sebagai aplikasi "Pemindaian akurat kode QR" yang sah yang tersedia di Google Play Store, aplikasi malware menampilkan iklan secara agresif, melacak korban yang terinfeksi dan menggunakan server C&C yang sama dengan malware Windows.

Scranos Mencuri Informasi Pembayaran dari Situs Web Populer

Berikut daftar DLL yang terkandung dalam dropper utama:

Facebook DLL - DLL ini mengekstraksi informasi tentang akun Facebook pengguna termasuk akun pembayaran mereka, daftar teman mereka, dan jika mereka adalah administrator halaman.

Amazon DLL - DLL ini mengekstraksi informasi dari akun Amazon pengguna. Para peneliti bahkan menemukan versi DLL ini yang telah dirancang untuk mengekstrak informasi dari akun Airbnb yang masuk.

Menurut telemetri yang dikumpulkan oleh para peneliti Bitdefender, Scranos menargetkan pengguna di seluruh dunia, tetapi "tampaknya lebih lazim di India, Rumania, Brasil, Prancis, Italia, dan Indonesia."

Sampel tertua malware ini ditelusuri kembali ke November 2018, dengan lonjakan besar pada bulan Desember dan Januari, tetapi pada Maret 2019, Scranos mulai mendorong jenis malware lain, yang menurut para peneliti adalah "indikator yang jelas bahwa jaringan sekarang berafiliasi dengan pihak ketiga dalam skema bayar per pemasangan. "

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel