Nuevo spyware habilitado para rootkit de rápida evolución descubierto

software espía del rootkit scranos

Se ha descubierto una nueva y potente operación de spyware habilitada para rootkits en la que los piratas informáticos distribuyen malware multifuncional disfrazado de software descifrado o aplicaciones troyanizadas que se hacen pasar por software legítimo, como reproductores de video, controladores e incluso productos antivirus.

Mientras que el malware rootkit, denominado Scranos—Que se descubrió por primera vez a fines del año pasado, todavía parece ser un trabajo en progreso, evoluciona continuamente, prueba nuevos componentes y mejora regularmente los componentes antiguos, lo que lo convierte en una amenaza importante.

Scranos presenta un diseño modular que ya ha ganado capacidades para robar credenciales de inicio de sesión y cuentas de pago de varios servicios populares, filtrar el historial de navegación y las cookies, obtener suscriptores de YouTube, mostrar anuncios, así como descargar y ejecutar cualquier carga útil.

Según un informe detallado de 48 páginas que Bitdefender compartió con The Hacker News antes de su lanzamiento, el malware gana persistencia en las máquinas infectadas mediante la instalación de un controlador de rootkit firmado digitalmente.

Los investigadores creen que los atacantes obtuvieron el certificado de firma de código digital válido de forma fraudulenta, que originalmente se emitió a Yun Yu Health Management Consulting (Shanghai) Co., Ltd. y no ha sido revocado en el momento de la escritura.

«El rootkit registra una devolución de llamada de apagado para lograr la persistencia. Al apagar, el controlador se escribe en el disco y se crea una clave de servicio de inicio en el Registro», dicen los investigadores.

Tras la infección, el malware rootkit inyecta un descargador en un proceso legítimo que luego se comunica con el servidor de comando y control (C&C) controlado por el atacante y descarga una o más cargas útiles.

Aquí hemos enumerado algunas cargas útiles de robo de datos y contraseñas:

Carga útil de robo de contraseña e historial de navegación – El cuentagotas principal roba las cookies del navegador y las credenciales de inicio de sesión de Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu Browser y Yandex. También puede robar cookies e información de inicio de sesión de las cuentas de las víctimas en Facebook, YouTube, Amazon y Airbnb.

Carga útil del instalador de extensiones – Esta carga útil instala extensiones de adware en Chrome e inyecta anuncios maliciosos o cargados de malware en todas las páginas web que visitan los usuarios. Algunas muestras también encontraron la instalación de extensiones de navegador falsas, como Chrome Filter, Fierce-tips y PDF Maker.

Carga útil del ladrón de datos de Steam – Este componente roba y envía la información y las credenciales de la cuenta Steam de las víctimas, incluida la lista de aplicaciones y juegos instalados, así como la versión codificada, al servidor del atacante.

El malware interactúa con Facebook y YouTube en nombre de las víctimas

Algunas otras cargas útiles pueden incluso interactuar con varios sitios web en nombre de la víctima, como:

Carga útil de suscriptores de YouTube – Esta carga útil manipula las páginas de YouTube ejecutando Chrome en modo de depuración, instruyendo al navegador para que realice varias acciones en una página web, como iniciar un video, silenciar un video, suscribirse a un canal y hacer clic en anuncios.

hackeo de facebook

Carga útil de los spammers de Facebook – Usando cookies recopiladas y otros tokens, los atacantes pueden ordenar malware para enviar solicitudes de amistad de Facebook a otros usuarios. También puede enviar mensajes privados a los amigos de Facebook de la víctima con enlaces a aplicaciones Android maliciosas.

Aplicación de software publicitario de Android – Disfrazada como la aplicación legítima de «Escaneo preciso del código QR» disponible en Google Play Store, la aplicación de malware muestra anuncios de manera agresiva, rastrea a las víctimas infectadas y usa el mismo servidor C&C que el malware de Windows.

Scranos roba información de pago de sitios web populares

Aquí está la lista de archivos DLL contenidos en el cuentagotas principal:

DLL de Facebook – Esta DLL extrae información sobre las cuentas de Facebook del usuario, incluidas sus cuentas de pago, su lista de amigos y si es administrador de una página.

DLL de Amazonas – Esta DLL extrae información de la cuenta de Amazon del usuario. Los investigadores incluso encontraron una versión de esta DLL que ha sido diseñada para extraer información de las cuentas de Airbnb iniciadas.

Según la telemetría recopilada por los investigadores de Bitdefender, Scranos se dirige a usuarios de todo el mundo, pero «parece más frecuente en India, Rumania, Brasil, Francia, Italia e Indonesia».

La muestra más antigua de este malware se remonta a noviembre de 2018, con un aumento masivo en diciembre y enero, pero en marzo de 2019, Scranos comenzó a impulsar otras cepas de malware, que según los investigadores es «un claro indicador de que la red ahora está afiliada a terceros en esquemas de pago por instalación”.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática