El malware, bautizado como Scranos fue
descubierto por primera vez el año pasado, está en constante evolución con
continuas mejoras, lo que lo convierte en una amenaza significativa.
Scranos se distribuye principalmente
en páginas de descargas como software crackeado o troyanizando aplicaciones
legítimas como reproductores de vídeo, drivers o incluso antivirus.
Este malware tiene un diseño modular y
es capaz de robar credenciales de redes sociales, de banca online, también es
capaz de exfiltrar el historial de navegación y las cookies, obtener
subscriptores de youtube, mostrar anuncios y descargar otros ejecutables.
De acuerdo con el reporte hecho
público por Bitdefender, el malware consigue persistencia mediante la
instalación de un rootkit en un driver firmado digitalmente.
Los investigadores creen que los
atacantes consiguieron el certificado de manera fraudulenta. Dicho certificado
fue expedido a Yun Pu Health Management Consulting (Shangai) Co. Ltd y de
momento aun no ha sido revocado.
Una vez que el PC ha sido infectado el
malware inyecta un downloader en un proceso legítimo para poder comunicar con
el C&C desde el que se descargarán uno o más payloads, dependiendo de las
circunstancias.
El rootkit registra un callback
shutdown que se activa a la hora de apagar el sistema para lograr persistencia.
Este proceso escribe el driver a disco y una nueva clave es añadida en el
registro para poder relanzarse en el siguiente inicio.
Entre los payloads que pueden lanzarse
se encuentran:
Robo de credenciales y de historial de
navegación de Chrome, Chromium, Firefox, Edge, Internet Explorer, Baidu browser
y Yandex. También puede robar cookies de Facebook, Youtube, Amazon y Airbnb.
Instalador de extensiones. Este otro
payload instala extensiones con adware en Chrome para insertar ads en todas las
webs que el usuario visite.
Stealer para Steam. Este componente
roba las credenciales del usuario de la plataforma Steam, incluyendo también
los juegos instalados.
Este malware también es capaz de
interactuar con Youtube y Facebook haciéndose pasar por la víctima para enviar
solicitudes de amistad y enviarles spam.
Más información: