Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI

Scranos, lo spyware “invisibile” che estorce denaro alle vittime: dettagli e consigli per difendersi

Scranos è uno spyware con funzionalità di rootkit capace di prendere il controllo di un sistema, rubare password, credenziali e trasformarlo in una “click farm” per estorcere denaro alle vittime dopo averne compromesso gli account Facebook, Amazon e YouTube. Ecco i dettagli e i consigli per difendersi

17 Apr 2019

Paolo Tarsitano


Si chiama Scranos lo spyware cross platform con funzionalità di rootkit scoperto dagli analisti di Bitdefender. Il malware si diffonde attraverso applicazioni già compromesse mediante trojan e mascherate da eBook Reader, player video e, in alcuni casi, addirittura strumenti antimalware.

Anche se molti componenti sono ancora ai primi stadi di sviluppo, la tecnica di attacco utilizzata da Scranos è dunque altamente sofisticata.

Lo spyware risulta al momento particolarmente diffuso in Italia, Romania, Brasile, Francia, India e Indonesia. I criminal hacker che lo hanno sviluppato, inoltre, testano continuamente nuovi componenti usando utenti già infetti come cavie e apportano regolarmente lievi migliorie al vecchio codice.

Scranos: lo spyware che estorce denaro alle vittime

La particolarità di Scranos che lo rende un unicum nel panorama degli spyware rootkit è la sua capacità di estorcere denaro alle vittime. I suoi sviluppatori, in particolare, sfruttano alcune librerie DLL del malware per cercare di rubare gli account a pagamento degli utenti dalle loro pagine di Facebook, Amazon e Airbnb.

Per farlo, alterano le metriche dei social media come i dati relativi alle visualizzazioni e i pay-per-click delle singole pagine. Ad esempio, lo spyware Scranos può cercare:

  • di ottenere dati relativi ai pagamenti degli utenti dalle loro pagine di Facebook, Amazon e Airbnb;
  • di estrarre i cookie e rubare dati di accesso da vari browser come Google Chrome, Chromium, Mozilla Firefox;
  • di rubare le credenziali di accesso per l’account dell’utente su Steam;
  • di inviare richieste di amicizia e messaggi con link infetti dall’account Facebook della vittima;
  • di iscrivere utenti a canali video Youtube. Tra i canali YouTube promossi dagli aggressori e monitorati da Bitdefender, uno ha raccolto più di 3.100 iscritti in un giorno.

In altri casi, i criminal hacker usano la catena infettiva di Scranos per diffondere a loro volta, a pagamento, ulteriori malware di altre organizzazioni criminali.

Spyware Scranos: ecco come fa a rendersi invisibile

Un’altra particolarità dello spyware Scranos è quella di riuscire a nascondersi in profondità nel sistema operativo infetto, diventando così estremamente furtivo e difficile da rilevare.

Per guadagnarsi la persistenza sulle macchine infette, Scranos installa quindi un driver rootkit firmato digitalmente per superare eventuali controlli dei software di sicurezza. In questo modo riesce a sopravvivere su diverse piattaforme, in particolare sui dispositivi mobile Android e, altro unicum nel mondo degli spyware, riesce ad assumere il controllo dei dispositivi, soprattutto quelli portatili.

La funzionalità di rootkit (contrazione dei termini root, che indica, tradizionalmente, l’utente con i maggiori permessi nei sistemi Unix-like, e kit) consente infatti a Scranos di ottenere pieno accesso alle macchine infette mascherando le sue operazioni malevoli o quelle di altri tool che usa per raggiungere questo scopo.

Ciò è possibile proprio grazie ai permessi di amministrazione acquisiti tramite il rootkit che consentono allo spyware Scranos di prendere il pieno controllo del sistema e alterare il corretto funzionamento di software e servizi in esecuzione sul sistema target, come ad esempio gli antimalware.

Spyware Scranos: dettagli tecnici

Ad infezione avvenuta, il rootkit provvede ad iniettare un downloader in un processo legittimo già in esecuzione sul sistema che gli consente di mettersi in comunicazione con il server Command-and-Control (C&C) controllato dai criminal hacker per scaricare questi altri payload con specifiche funzioni:

  • rubare password e cronologia di navigazione: si tratta di un dropper che consente di rubare i cookie del browser e le credenziali di accesso ai vari servizi on-line da Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu Browser e Yandex. Il codice malevolo può anche rubare cookie e informazioni di login dagli account delle vittime su Facebook, YouTube, Amazon e Airbnb;
  • installare estensioni nel browser: questo payload installa estensioni adware in Chrome e inietta annunci dannosi o carichi di malware su tutte le pagine web visitate dagli utenti. Dall’analisi di alcuni campioni del malware Scranos, i ricercatori di sicurezza sono riusciti ad isolare i codici per l’installazione di false estensioni del browser come Chrome Filter, Fierce-tips e PDF Maker;
  • Steam Data Stealer: questo payload, come il nome stesso lascia intuire, consente di rubare e inviare al server C&C controllato dai criminal hacker le credenziali di accesso e le informazioni del conto sull’account Steam delle vittime, compreso l’elenco delle applicazioni e dei giochi installati;
  • YouTube subscriber: payload utile per manipolare le pagine di YouTube eseguendo Chrome in modalità debug e dare istruzioni al browser per intraprendere varie azioni su una pagina web come avviare un video, silenziare l’audio, abbonarsi a un canale e fare clic sugli annunci;
  • Facebook Spammer: utilizzando i cookie e altri token raccolti mediante questo payload, gli aggressori possono comandare malware per inviare richieste di amicizia su Facebook ad altri utenti. Il payload consente anche di inviare messaggi privati agli amici di Facebook della vittima con link ad APK Android dannosi.
  • App Android Adware: nascosta dietro l’apparenza legittima dell’app “Accurate scanning of QR code” disponibile su Google Play Store, l’app malevola visualizza in modo massivo annunci pubblicitari e traccia le attività delle vittime comunicando le informazioni raccolte allo stesso server C&C usato dalla versione Windows del malware.

Consigli utili per difendersi dallo spyware Scranos

“Anche se generalmente i malware rootkit rappresentano meno dell’1% dei malware nel mondo, essi sono di solito associati ad attacchi mirati e di alto profilo da parte di stati-nazione e APT”, ha dichiarato Bogdan Botezatu, Director of Threat Research and Reporting di Bitdefender.

“I creatori di Scranos hanno sviluppato un sofisticato malware firmato con un certificato digitale legittimo che molto probabilmente è stato ottenuto con mezzi illeciti. Abbiamo già notificato all’Autorità di Certificazione che un certificato da loro rilasciato viene utilizzato in modo fraudolento da Scranos”, ha concluso Botezatu.

Sui dispositivi infetti i sintomi del malware Scranos non sono immediatamente visibili, ma appaiono nei registri delle attività dei social media degli utenti come azioni inusuali non previste o azioni che gli utenti non hanno eseguito. Oppure nella cronologia dei pagamenti o nelle fatture per prodotti o servizi che non hanno acquistato.

Il rootkit di Scranos imita le attività degli utenti, in quanto accede alle loro credenziali che convalidano queste attività, lasciando inoltre poche prove forensi che possano in qualche modo rivelarne la presenza.

Gli specialisti di Bitdefender consigliano agli utenti che hanno il sospetto di essere stati infettati dal malware Scranos di rivolgersi a professionisti per un aiuto nel creare un ambiente di ripristino ed eseguire una scansione del sistema.

In alternativa, è possibile seguire queste istruzioni per procedere ad una rimozione manuale:

  1. chiudiamo tutti i browser in esecuzione;
  2. terminiamo tutti i processi sospetti in esecuzione e cancelliamo eventuali file identificati come sospetti dall’antivirus;
  3. terminiamo il processo rundll32.exe;
  4. individuiamo il nome dell’eseguibile del rootkit seguendo questa procedura:
    – otteniamo il codice SID associato al nostro account utente digitando il comando wmic useraccount get name,sid nel Prompt dei comandi di Windows;
    – calcoliamo l’hash MD5 della stringa SID; per farlo, è sufficiente incollare la stringa ottenuta nel passo precedente nell’apposito campo di testo sul sito OnlineMD5;
    – copiamo quindi i primi 12 caratteri del nome del file ottenuto corrispondenti al nome del rootkit;
  5. avviamo il Prompt dei comandi o la PowerShell di Windows con privilegi di amministratore e digitiamo, in sequenza, i seguenti comandi:
    <sc stop <[stringa ottenuta al passo 4]
    <sc delete <[stringa ottenuta al passo 4]
  6. spostiamoci nella cartella C:\Windows\System32\drivers, cerchiamo il file con estensione SYS e il cui nome corrisponde alla stringa ottenuta al passo 4 ed eliminiamolo;
  7. controlliamo la presenza di un driver DNS temporaneo installato dal rootkit ed eliminiamolo:
    – nella cartella %TEMP% di Windows dovrebbe essere presente un file con un nome composto da 10 lettere maiuscole casuali (ad esempio: MOIYZBWQSO.sys). Nel registro di configurazione di Windows dovrebbe esserci anche una chiave corrispondente (ad esempio: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MOIYZBWQSO);
    – avviamo il Prompt dei comandi o la PowerShell con privilegi di amministratore e digitiamo in sequenza i seguenti comandi: sc stop MOIYZBWQSO e sc delete MOIYZBWQSO;
    – cancelliamo il file %TEMP%\MOIYZBWQSO.sys

A questo punto, è necessario riavviare il sistema per rimuovere il codice malevolo iniettato dal rootkit nel processo svchost.exe.

È utile anche rimuovere eventuali estensioni sospette presenti nei browser che usiamo abitualmente e cambiare tutte le password sia di Windows sia dei nostri account Facebook, Amazon, Airbnb e YouTube compromessi dal rootkit.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5