Специалисты компании Bitdefender обнаружили новый многофункциональный руткит Scranos. Зловред распространяется под видом пиратских программ для работы с видеофайлами и электронными книгами, маскируется под антивирусные продукты и драйверы. Исследователи отмечают, что многие компоненты пока что находятся в разработке. Однако его возможности уже позволяют преступникам похищать платежные данные пользователей онлайн-сервисов и подписывать жертв на YouTube-каналы.

Первая информация о Scranos появилась в этом году. Восьмого января ИБ-исследователи из Tencent Threat Intelligence Center сообщили о результатах проверки некоторых компонентов руткита. Самые ранние из обнаруженных образцов были созданы в ноябре 2018 года.

Чтобы проникнуть на устройство жертвы, Scranos маскируется под легитимные и взломанные версии приложений. Более чем в половине случаев зловред оказывается на компьютерах пользователей Windows 10, но работать может и в других версиях ОС вплоть до XP.

Под видом искомой программы на устройство жертвы попадает дроппер и похититель паролей. После запуска он отправляет сведения о компьютере на внешний сервер и извлекает файлы cookie и учетные данные жертвы из браузеров Google Chrome, Firefox, Edge, Opera, Baidu Browser и Яндекс.Браузер. Помимо этого, к злоумышленникам попадают платежные сведения и другая информация из учетных записей Facebook, Amazon и Airbnb.

Затем дроппер устанавливает руткит и прочие модули. Scranos способен рассылать с захваченных аккаунтов APK-файлы контактам пользователя и запросы на добавление в друзья в Facebook. Отдельный модуль зловреда подписывает жертву на различные YouTube-каналы.

Кроме того, Scranos похищает данные из аккаунтов Steam, устанавливает рекламное ПО, а также проигрывает рекламу или видео с YouTube через браузер на устройстве жертвы. Иногда преступники используют зараженные компьютеры для тестирования новых компонентов.

Эксперты отмечают, что зловред недавно вышел за пределы Китая и пока не получил в других странах широкого распространения. Кроме жителей Поднебесной жертвами Scranos чаще всего становятся пользователи из Индии, Румынии, Бразилии, Франции, Италии и Индонезии, — пока пострадавших менее пяти тысяч.

Некоторым экспертам Scranos напоминает вредоносную программу Zacinlo, которая активно распространялась летом прошлого года. Зловред открывал рекламные окна и перехватывал интернет-трафик на зараженных устройствах. Чтобы скрыть следы его присутствия в системе, злоумышленники также внедряли на устройство жертвы руткит.

Категории: Аналитика, Вредоносные программы, Главное