El malware rootkit de Scranos se descubrió a fines del año pasado en una investigación sobre un robo masivo de datos y contraseñas, en donde se hizo presente un controlador de rootkit firmado digitalmente con un certificado robado. A pesar del nivel de sofisticación de la amenaza, el rootkit sigue en desarrollo, y los expertos señalan que se encuentra en continua evolución.
Scranos implementa una arquitectura modular, con muchos componentes en las primeras etapas de desarrollo. La reciente investigación informó que ya está infectando a usuarios de todo el mundo. Este malware implementa funciones para extraer cookies y robar credenciales de inicio de sesión de múltiples navegadores (Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu Browser y Yandex Browser), permite el robo de cuentas de pago en páginas de Facebook, Amazon y Airbnb, incluso realiza envío de solicitudes de amistad a otras cuentas y mensajes de phishing utilizando la cuenta de Facebook de la víctima, comparte APK’s maliciosas, roba credenciales de inicio de sesión de una cuenta de Steam, y por último, descargar y ejecutar cualquier payload.
El malware también puede inyectar software publicitario de JavaScript en Internet Explorer, instalar extensiones de Google Chrome y Opera, ex-filtrar el historial de navegación, mostrar anuncios o silenciar videos de YouTube.
El malware se propaga a través de aplicaciones troyanas disfrazadas de software pirateado, o aplicaciones que se hacen pasar por software legítimo, reproductores de video, controladores o incluso software antivirus. Cuando se ejecuta, se instala un controlador de rootkit para ocultar el malware y garantizar la persistencia, luego se conecta el centro de comando y control (C2) para descargar e instalar componentes adicionales.
La mayoría de las infecciones se han observado en India, Rumania, Brasil, Francia, Italia e Indonesia. Según los expertos, la campaña se encuentra en una etapa de consolidación, las primeras muestras se remontan a noviembre de 2018.
En el informe publicado por los investigadores se incluyen los detalles técnicos adicionales sobre los payloads, como el de la red social YouTube, el payload de spam de Facebook y la aplicación de software publicitaria de Android, incluyendo de igual forma el listado completo de los indicadores de compromiso (IoC) para esta última campaña registrada.
REFERENCIA
COMENTARIOS