[Cảnh báo] Scranos - mã độc Rootkit đang được phát tán để đánh cắp thông tin người dùng

Các nhà nghiên cứu bảo mật mới đây vừa phát hiện một chiến dịch phát tán mã độc đa chức năng, được ngụy trang dưới dạng các phần mềm bẻ khóa hoặc giả mạo thành các phần mềm hợp pháp, thậm chí là các phần mềm anti-virus, nhằm đánh cắp thông tin đăng nhập, thông tin thanh toán và lịch sử duyệt web, spam trên mạng xã hội và chạy phần mềm quảng cáo.

[Cảnh báo] Scranos - mã độc Rootkit đang được phát tán để đánh cắp thông tin người dùng - CyberSec365.org

Theo đó, phần mềm độc hại này được đặt tên là Scranos, và được phát hiện lần đầu tiên vào cuối năm 2018. 

Nguy hiểm hơn, Scranos còn được đăng ký bởi chứng chỉ số của DigiCert cấp cho Yun Yu Health Management Consulting (Shanghai) Co., Ltd., một công ty không liên quan đến phát triển phần mềm. Hiện tại, chứng chỉ vẫn còn hiệu lực.

"The rootkit registers a Shutdown callback to achieve persistence. At shutdown, the driver is written to disk, and a start-up service key is created in the Registry," the researchers say.

[Cảnh báo] Scranos - mã độc Rootkit đang được phát tán để đánh cắp thông tin người dùng - CyberSec365.org

 Theo phân tích từ Bitdefender Labs, bản thân trình tải xuống rootkit là đa chức năng; nó cũng có thể trích xuất thông tin đăng nhập từ các trình duyệt đã nói ở trên và sử dụng các DLL chuyên dụng.
Khi bị lây nhiễm, phần mềm độc hại rootkit đưa trình tải xuống vào một quy trình hợp pháp, sau đó liên lạc với máy chủ Command-and-Control (C & C) do kẻ tấn công kiểm soát và tải xuống một hoặc nhiều tải trọng sau:
Password and Browsing History Stealing Payload: Trình điều khiển chính đánh cắp cookie trình duyệt và thông tin đăng nhập từ Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer, Yahoo Browser và Yandex. Nó cũng có thể đánh cắp cookie và thông tin đăng nhập từ tài khoản của nạn nhân trên Facebook, YouTube, Amazon và Airbnb.

[Cảnh báo] Scranos - mã độc Rootkit đang được phát tán để đánh cắp thông tin người dùng - CyberSec365.org

Extension Installer Payload:  Tải trọng này cài đặt các tiện ích mở rộng phần mềm quảng cáo trong Chrome và tiêm quảng cáo độc hại hoặc chứa phần mềm độc hại trên tất cả các trang web mà người dùng truy cập. Một vài mẫu cũng tìm thấy cài đặt các tiện ích mở rộng trình duyệt giả, chẳng hạn như Chrome Filter, Fierce-tips và PDF Maker.

[Cảnh báo] Scranos - mã độc Rootkit đang được phát tán để đánh cắp thông tin người dùng - CyberSec365.org

Steam Data Stealer Payload: tri trọng này sẽ tiến hành đánh cắp và gởi thông tin tài khoản Stream của nạn nhân, bao gồm danh sách các ứng dụng và trò chơi đã được cài đặt, thông tin phần cứng,... đến máy chủ tin tặc.
YouTube subscriber payload: tải trọng này sẽ tiến hành chạy trình duyệt Chrome ở chế độ gỡ lỗi. Sau đó, nó sẽ tiến hành nhiều hành động khác nhau như chạy video, đăng ký kênh, nhấp quảng cáo trên Youtube.

[Cảnh báo] Scranos - mã độc Rootkit đang được phát tán để đánh cắp thông tin người dùng - CyberSec365.org

Facebook Spammer Payload:  tải trọng này được sử dụng để thu thập cookie và tokens của người dùng. Với các thông tin này, tin tặc có thể ra lệnh cho mã độc tiến hành gởi yêu cầu kết bạn Facebook cho người dùng khác, gởi tin nhắn riêng cho bạn bè nạn nhân trên Facebook và phát tán mã độc.
Android Adware App: Được ngụy trang dưới dạng ứng dụng "Accurate scanning of QR code" có sẵn trên Google Play Store, ứng dụng phần mềm độc hại sẽ hiển thị quảng cáo, theo dõi nạn nhân bị nhiễm và sử dụng cùng máy chủ C & C như phần mềm độc hại Windows.
Ngoài ra, mã độc này cũg được trang bị các tệp DLL bao gồm: Facebook DLL, Amazon DLL,... nhằm trích xuất và đánh cắp các thông tin thanh toán của người dùng trên các website cùng tên.
Theo các từ xa được thu thập bởi các nhà nghiên cứu Bitdefender, Scranos đang nhắm mục tiêu người dùng trên toàn thế giới, nhưng "nó dường như phổ biến hơn ở Ấn Độ, Romania, Brazil, Pháp, Ý và Indonesia."

CyberSec365.org (theo The Hacker News và Bleeping Computer)