Scranos, un nuovo malware rootkit, ruba password e fa clic su YouTub

I ricercatori di sicurezza hanno scoperto un nuovo malware insolito che ruba le password degli utenti e i metodi di pagamento degli account archiviati nel browser di una vittima – e silenziosamente aumenta anche gli abbonati e le entrate di YouTube.

Il malware, Scranos, infetta con funzionalità rootkit, affondando in profondità nei computer Windows vulnerabili per ottenere un accesso persistente, anche dopo il riavvio del computer. Scranos è emerso solo negli ultimi mesi, secondo Bitdefender con una nuova ricerca martedì, ma il numero delle sue infezioni è aumentato nei mesi da quando è stato identificato per la prima volta a novembre.

“Le motivazioni sono strettamente commerciali”, ha detto Bogdan Botezatu, direttore della ricerca sulle minacce e reporting di Bitdefender, in una email. “Sembrano essere interessati a diffondere la botnet per consolidare il business infettando il maggior numero possibile di dispositivi per eseguire abusi pubblicitari e utilizzarlo come piattaforma di distribuzione per malware di terze parti”, ha affermato.

Bitdefender ha scoperto che il malware si diffondeva attraverso download trojanizzati mascherati da app reali, come lettori video e lettori di e-book. Le app rogue sono firmate digitalmente – probabilmente da un certificato generato in modo fraudolento – per evitare di essere bloccate dal computer. “Utilizzando questo approccio, gli hacker hanno maggiori probabilità di infettare obiettivi”, ha detto Botezatu. Una volta installato, il rootkit si impegna a mantenere la sua presenza e il telefono a casa al suo server di comando e controllo per scaricare ulteriori componenti dannosi. I droppers di secondo livello iniettano librerie di codice personalizzate nei browser comuni – Chrome, Firefox, Edge, Baidu e Yandex per citarne alcuni – per indirizzare gli account di Facebook, YouTube, Amazon e Airbnb, raccogliendo dati da inviare all’operatore del malware.

“Le motivazioni sono strettamente commerciali … guardano alle frodi pubblicitarie consumando pubblicità sui canali dei loro editori in modo invisibile al fine di intascare il profitto.” Bogdan Botezatu di Bitdefender

Il principale tra questi è il componente YouTube, ha affermato Bitdefender. Il malware apre Chrome in modalità di debug e, con il payload, nasconde la finestra del browser sul desktop e sulla barra delle applicazioni. Il browser viene ingannato nell’aprire un video di YouTube in background, disattivarlo, iscriversi a un canale specificato dal server di comando e controllo e fare clic sugli annunci.

Il malware “aggressivamente” ha promosso quattro video di YouTube su canali diversi, hanno scoperto i ricercatori, trasformando i computer delle vittime in una clickfarm di fatto per generare entrate video.

“Stanno prendendo in considerazione le frodi pubblicitarie consumando pubblicità sui canali dei loro editori in modo invisibile al fine di intascare il profitto”, ha detto Botezatu. “Stanno crescendo i conti che sono stati pagati per crescere e aiutare a gonfiare un pubblico in modo che possano far crescere specifici account” influencer “.

Un altro componente scaricabile consente al malware di inviare spam alle richieste di amicizia di Facebook di una vittima con messaggi di phishing. Sifonando il cookie di sessione di un utente, invia un collegamento dannoso a un’app adware Android tramite un messaggio di chat.

“Se l’utente è connesso a un account Facebook, impersona l’utente ed estrae i dati dall’account visitando determinate pagine Web dal computer dell’utente, per evitare di destare sospetti attivando un avviso di dispositivo sconosciuto”, legge il rapporto. “Può estrarre il numbe

LEGGI DI PIÙ…

Fonte immagine: %% image_source_website %% (%% image_source_url %%)

Luigi Salmone

Luigi Salmone

Leave a Reply

Your email address will not be published. Required fields are marked *