Scranos, un nouveau malware rootkit, vole les mots de passe et pousse les clics YouTube
dans

Scranos, un nouveau malware rootkit, vole les mots de passe et pousse les clics YouTube

Des chercheurs en sécurité ont découvert un nouveau logiciel malveillant inhabituel qui dérobe les mots de passe des utilisateurs et les méthodes de paiement des comptes stockés dans le navigateur de la victime, tout en augmentant en silence les abonnés et les revenus sur YouTube.

Le malware, Scranos, infecte avec des capacités de rootkit, s’infiltrant profondément dans les ordinateurs Windows vulnérables pour obtenir un accès persistant, même après le redémarrage de l’ordinateur. Scranos n'est apparu que ces derniers mois, selon Bitdefender, après de nouvelles recherches, mais le nombre de ses infections a explosé dans les mois qui ont suivi sa découverte en novembre.

«Les motivations sont strictement commerciales», a déclaré Bogdan Botezatu, directeur de la recherche sur les menaces et des rapports à Bitdefender, dans un courrier électronique.

"Ils semblent être intéressés par la diffusion du botnet afin de consolider l'activité en infectant autant de périphériques que possible pour commettre des abus de publicité et en faire une plate-forme de distribution de logiciels malveillants tiers", a-t-il déclaré.

Bitdefender a constaté que le programme malveillant se propageait par le biais de téléchargements vérolés qui se font passer pour de véritables applications, telles que les lecteurs vidéo et les lecteurs de livres électroniques.

Les applications malveillantes sont signées numériquement (probablement à partir d'un certificat généré frauduleusement) pour éviter d'être bloquées par l'ordinateur.

"En utilisant cette approche, les pirates informatiques sont plus susceptibles d'infecter des cibles", a déclaré Botezatu.

Une fois installé, le rootkit appelle son serveur de commande et de contrôle (C&C) pour télécharger des composants malveillants supplémentaires.

Seconde étape : injection des bibliothèques de code personnalisées dans les navigateurs courants – Chrome, Firefox, Edge, Baidu et Yandex, pour n'en nommer que quelques-uns – pour cibler les comptes Facebook, YouTube, Amazon et Airbnb, en collectant des données à renvoyer à l'opérateur de programmes malveillants.

téléchargements de charges utiles rootkit

«Les motivations sont strictement commerciales… ils étudient la fraude publicitaire en utilisant des publicités invisibles sur les chaînes de leurs éditeurs afin d'empocher leurs profits». Le logiciel malveillant ouvre Chrome en mode déboggage et, avec la charge malicieuse (payload), masque la fenêtre du navigateur sur le bureau et la barre des tâches.

Le navigateur est incité à ouvrir des vidéos YouTube en arrière-plan, le met en sourdine, s'abonne à un canal spécifié par le serveur de commande et de contrôle et clique sur les annonces.

Les chercheurs ont découvert que le programme malveillant promouvait quatre vidéos YouTube sur différentes chaînes, transformant les ordinateurs des victimes en une "clickfarm" de facto générant des revenus vidéo.

"Ils envisagent la fraude publicitaire en consommant des annonces sur les chaînes de leurs éditeurs de manière invisible pour empocher leurs bénéfices", a déclaré Botezatu.

«Ils développent un nombre croissant de comptes pour lesquels ils ont été payés et contribuent à gonfler un auditoire afin qu'ils puissent créer des comptes « d'influence » spécifiques.»

Un autre composant téléchargeable permet au logiciel malveillant d'envoyer des messages de phishing aux amis Facebook d'une victime.

En siphonnant le cookie de session d'un utilisateur, il envoie un lien malveillant à une application de logiciel de publicité Android par le biais d'un message privé.

«Si l'utilisateur est connecté à un compte Facebook, il emprunte l'identité de celui-ci et en extrait les données en visitant certaines pages Web à partir de son ordinateur, afin d'éviter de susciter des soupçons en déclenchant une alerte de périphérique inconnu», lit-on.

"Il peut extraire le nombre d'amis et déterminer si l'utilisateur administre des pages ou des informations de paiement dans le compte."

Le logiciel malveillant tente également de voler les cookies de session Instagram et le nombre d'abonnés qu'il contient.

D'autres composants malveillants permettent au logiciel malveillant de voler des données à des comptes Steam, d'injecter un logiciel de publicité dans Internet Explorer, d'exécuter des extensions Chrome non fiables, ainsi que de collecter et de télécharger l'historique de navigation d'un utilisateur.

"Il s'agit d'une menace extrêmement sophistiquée qui a nécessité beaucoup de temps et d'efforts", a déclaré Botezatu.

Les chercheurs pensent que le botnet contient déjà des dizaines de milliers d’appareils – du moins. «Les logiciels malveillants basés sur des rootkits présentent un niveau inhabituel de sophistication et de dévouement», a-t-il déclaré.

Alors n'oubliez pas : restez vigilant !

Écrit par Jeff

Wordpress Junkie - Security Enthusiast - Digital Strategy Consultant - Pizzas Lover.

Le paysage des attaques par DDoS en Europe est-il en déclin?

Le paysage des attaques par DDoS en Europe est-il en déclin?

La taille des attaques par DDoS chute de 85% au quatrième trimestre 2018

La taille des attaques par DDoS chute de 85% au quatrième trimestre 2018