Son zamanlarda araştırmacılar, siber suçluların, hedef kullanıcıların oturum açma kimlik bilgilerini, ödeme bilgilerini ve tarayıcı geçmişini çalmak için büyük ölçekli kötü amaçlı faaliyetlerde dijital olarak imzalanmış Rootkit'leri kullandığını ve bunu sosyal ağ kullanıcılarına çevrimiçi dolandırıcılık ve kötü niyetli saldırılar gerçekleştirmek için kullandığını keşfettiler. Reklam kampanyaları.
Araştırmacılar, bu kötü niyetli faaliyetler dizisine "Scranos" adını verdiler.Bu saldırı etkinliğinde, rootkit, hedef kullanıcının bir video sürücüsü yüklemesini gerektirecektir. Kurulum tamamlandıktan sonra, saldırgan tarafından belirlenen Yükü indirecektir. Bu saldırıdan etkilenen Chrome, Chromium, Firefox, Opera, Edge ve IE gibi yaygın tarayıcıların yanı sıra Facebook, Amazon, Airbnb, Steam ve Youtube gibi çevrimiçi hizmetler de bulunmaktadır.
Yeni saldırı biçimi
Araştırmacılar, Rootkit imzalama için kullanılan sertifikanın muhtemelen çalınacağını söyledi. İmza için kullanılan dijital sertifika, Şanghay'da yazılım geliştirmeye dahil olmayan bir sağlık yönetimi danışmanlık şirketinden geliyor. Şu anda sertifika hala geçerlidir.
Araştırmacılar şimdi Scranos faaliyetinin [ayrıntılı analiz raporunu] yayınladılar ve rapordaki saldırıya dahil olan saldırı bileşenlerini ayrıntılı olarak açıkladılar.
teknik detaylar
Saldırganlar, hedef Windows sistemini enfekte ederken bellek kök setlerini kullanır ve esas olarak meşru uygulamalarmış gibi görünen e-kitap tarayıcıları, video oynatıcılar veya kötü amaçlı yazılımdan koruma ürünleri kullanır. Hedef ana bilgisayarda kalıcı bir virüs bulaştırmak için Scranos, hedef cihaz kapatılmadan önce verilerin üzerine yazacak ve sabit diske yazacak ve tamamlandıktan sonra tüm yükleri silecektir. Ve bazı özel durumlarda, Payload kötü niyetli indiricileri yasal işlem olan "svchost.exe" ye bile enjekte eder.
Araştırmacının analizine göre, kötü amaçlı yazılım örneğinin mevcut işlevleri yalnızca şunları içerir: yük bırakma aracını indirme ve çalıştırma, kalıcı bulaşma uygulama ve kullanımdaki dosyaları silme (bellekteki yükü kaldırmak için kullanılır).
Ancak araştırmacılar, Rootkit indiricisinin çok işlevli bir kötü amaçlı yazılım olduğunu söyledi.Ayrıca, hedef kullanıcının oturum açma kimlik bilgilerini az önce bahsettiğimiz tarayıcıdan çıkarabilir ve diğer saldırıları gerçekleştirmek için kötü amaçlı DLL dosyalarını kullanabilir.
Enfeksiyon kapsamı
Youtube kullanıcılarının yanı sıra Guangdong, Şangay, Jiangsu ve Zhejiang'daki on binlerce kullanıcı da dahil olmak üzere hedef kullanıcıların büyük bir kısmı Çin'den.
Ancak araştırmacılar, Scranos faaliyetlerinin hala gelişmekte olduğunu ve enfeksiyon aralığının Hindistan, Romanya, Brezilya, Fransa, İtalya ve Endonezya gibi ülkelere ve haritalara yayıldığını da söyledi. Ek olarak, araştırmacılar tarafından kötü amaçlı yazılım örneklerinin analizine dayalı olarak, saldırgan, kötü amaçlı yazılıma çeşitli yeni bulaşma bileşenleri de ekleyebilir.
Yük analizi
Youtube kanalı için Yük, Chrome'un hata ayıklama modunu kullanır ve kendisini görev çubuğundan gizler, ancak yine de ilgili kötü amaçlı yazılımın etkinliğini görev yöneticisi aracılığıyla görüntüleyebiliriz. Chrome, hedef ana bilgisayarda yüklü değilse, kötü amaçlı yazılım doğrudan hedef sisteme yüklenecektir.
Araştırmacı şunları söyledi: "Bir Youtube sayfasını ve Xining'i analiz ettikten sonra, kötü amaçlı yazılımın önce Chrome'da bir URL açacağını ve ardından bu sayfadaki çeşitli işlemleri gerçekleştirmek için Chrome'u kontrol etmek için kötü amaçlı yükleri kullanacağını gördük: bir video açın, sonra Sesi kapatın, kanala abone olun ve son olarak kötü amaçlı reklamı tıklayın. Tüm bu işlemler Chromeun ayar komutlarıyla yapılır. "
YouTube Payload bir gün içinde arka planda çok sayıda belirli kanala sessizce abone olabilir ve hedef kanala her gün yaklaşık 3100 yeni abone getirir.
Tarayıcı eklentilerini yüklemek için kullanılan Yük, Chrome, Opera ve IE gibi web sayfalarının JavaScript işlevini destekleyen tarayıcılara saldırabilir.
Chrome'da, Chrome Filter, Fierce-tips ve PDF-Maker gibi eklentiler olabilir ve sonuncusu hala ChromeWeb mağazasında bulunabilir ve kurulu kapasite 128.000'i aştı.
Facebook İnternet dolandırıcılık Yükü, arkadaş istekleri ve kimlik avı bilgileri göndermekten sorumludur (kötü amaçlı bağlantılar bir Android APK dosyasını işaret eder). Firefox, Chrome ve diğer Chromium tabanlı tarayıcılardan çerez bilgilerini çalabilir.
Edge tarayıcısı için Nirsoft tarafından geliştirilen yasal bir araç olan EdgeCookiesView aracını kuracak ve geliştirdiği araç daha önce birçok malware geliştiricisi tarafından kullanılmıştı.
Steam hesabı için, ilk indiriciyi Rootkit ve diğer bileşenleri indirmek ve kurmak için kullanacaktır. Ardından Steam hesabı kimlik bilgilerini saklamak için bir kayıt defteri anahtarını sıfırlayın. Kimlik bilgisi verilerine ek olarak, çalınan veriler ayrıca sistemde yüklü oyunların listesini, son oyunun saatini vb. İçerir.
Araştırmacılar, mevcut Scranos faaliyetlerinin hala devam ettiğini ve saldırı yöntemlerinin sürekli geliştiğini ve yükseltildiğini ve etki kapsamının giderek genişlediğini söyledi. Etkilenen kullanıcıların çoğu Windows 10 kullanıcılarıdır.
Tam analiz raporu: [https://labs.bitdefender.com/2019/04/inside-scranos-a-cross-platform-rootkit-enabled-spyware-operation/]
* Referans kaynağı: bleepingcomputer, FB editörü Alpha_h4ck tarafından derlenmiş, FreeBuf.COM'dan yeniden üretilmiştir