Scranos – Un espion multi-plateforme issu d'un rootkit

L’année dernière, notre centre de recherche, le Bitdefender Cyber ​​Threat Intelligence Lab, a détecté et commencé l’analyse d’une nouvelle méthode de vol de mots de passe et de données basée sur un pilote de rootkit signé numériquement avec un certificat potentiellement volé. L’opération, en partie décrite dans un récent article de Tencent, visait principalement le territoire chinois, avant de se répandre récemment dans le monde entier.

Malgré sa sophistication, l’attaque fait penser à un travail inachevé, avec de nombreux composants encore en développement. Bien que cette campagne n’ait pas atteint l’ampleur de celle de l’adware Zacinlo, elle infecte déjà de nombreux utilisateurs.

Nous avons découvert que les opérateurs de ce spyware activé par rootkit testaient en permanence de nouveaux composants sur des utilisateurs déjà infectés et apportaient régulièrement des améliorations mineures aux anciens composants. Les différents composants peuvent servir différents objectifs et adopter différentes approches pour atteindre ces objectifs. Certains des composants les plus importants du malware peuvent accomplir les actions suivantes :

• Extraire les cookies et volez les identifiants de connexion de Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu Browser et Yandex Browser.
• Voler les comptes de paiement d’un utilisateur sur ses pages web Facebook, Amazon et Airbnb.Envoyer des demandes d’amis à d’autres comptes, à partir du compte Facebook de l’utilisateur.
• Envoyer des messages de phishing aux amis Facebook de la victime contenant des fichiers APK malveillants utilisés également pour infecter les utilisateurs d’Android.
• Voler les identifiants de connexion du compte de l’utilisateur sur Steam.
• Injecter un adware JavaScript dans Internet Explorer.
• Installer des extensions Chrome et Opera pour y injecter également un adware JavaScript.
• Exfiltrer l’historique de navigation.
• Affichez en silence des publicités ou des vidéos YouTube muettes aux utilisateurs via Chrome. Nous avons trouvé des injecteurs pouvant installer Chrome s’il ne se trouve pas déjà sur l’ordinateur de la victime.
• Inscrire les utilisateurs à des chaînes vidéo YouTube.
• Télécharger et exécuter n’importe quelle tâche de manipulation (payload).
  Vous voulez en savoir plus? Téléchargez le document complet ici.