大数跨境
首页
>
从中国走向世界的Scranos专攻破解版软件,所有Windows系统受影响
>
0
0

从中国走向世界的Scranos专攻破解版软件,所有Windows系统受影响

从中国走向世界的Scranos专攻破解版软件,所有Windows系统受影响 代码卫士
2019-04-17
0
导读:还在使用破解版软件么?

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

Bitdefender 公司报告中指出,几个月后,曾仅限于中国境内的一款恶意软件已经走向世界。习惯于下载并安装破解版软件应用的用户面临的风险最高。

研究人员指出,这些破解版软件应用程序中含相对较新的恶意软件 Scranos它最重要的功能是,它是一款隐藏在受污染应用中的rootkit 驱动,可导致 Scranos 获取启动持久性并在感染早期完全控制用户系统。

Scranos 活动首次由腾讯威胁情报中心在今年1月初发布,当时该中心提供了针对受感染计算机上下载的某些组件的技术分析内容。它是一款内存 rootkit,通过伪装成盗版工具或合法应用程序如电子书阅读器、视频播放器甚至是反恶意软件解决方案的虚假软件感染 Windows 系统。

签名该 rootkit 的证书可能是盗取的,是向并不从事软件开发业务的韵羽健康管理咨询(上海)有限公司颁发的 DigiCert据悉目前该证书仍然是有效的。

非常危险的 “未完工程”

尽管研究人员将 Scranos 称为“未完工程”,很多组件都处于开发阶段早期,但当前状态已经非常危险。因为 Scranos 是一款模块化威胁,它一旦感染主机计算机,就能 ping 控制和命令服务器接受额外指令,之后下载小型模块执行一系列操作。

Scranos 可能并不具备所有受更复杂恶意软件支持的功能的模块,但它含有足够的组件能够给用户和数据带来风险,同时因其具有广告软件功能,因此非常恼人。

Bitdefender 在研究期间记录了该恶意软件的如下模块/功能:

  • 从谷歌 ChromeChromiumMozilla FirefoxOperaMicorsoft EdgeIE 浏览器、百度浏览器和 Yandex 浏览器提取 cookie 并窃取登录凭证。

  • 窃取用户 Facebook亚马逊 Airbnb 网页的用户支付账户。

  • 从用户的 Facebook 账户向其它账户请求加为好友。

  • 向受害者的 Facebook 好友发送包含用于同时感染安卓用户的恶意 APK 的钓鱼信息。

  • 窃取用户 Steam 账户的登录凭证。

  • IE 浏览器中注入 JavaScript 广告软件。

  • 安装 Chrome/Opera 扩展,在这些浏览器中注入 JavaScript 广告软件。

  • 窃取浏览历史。

  • 通过 Chrome 静默展示广告或静音的 YouTube 视频。我们发现一些释放器能够在受害者电脑上未安装 Chrome 浏览器的情况下强制安装。

  • 将用户订阅至 YouTube 视频频道。

  • 下载并执行任意 payload

Bitdefender 表示,该恶意软件远不如去年6月份发现的 Zacinlo 广告活动传播的范围广。尽管如此,Scranos 已开始从针对中国用户(已感染数千名用户,主要分布在广东、上海、江苏和浙江)延伸至全球。目前,多数感染发生在印度、罗马尼亚、巴西、法国、意大利和印度尼西亚。目前幕后黑手仍然继续在受感染电脑上测试新组件。

坏消息是,Scranos 并不仅限于一两个平台,而且感染所有已知 Windows 版本,从 XP Windows 10 无一幸免,最多的受害者使用的是 Windows 10 Windows 7

VirusTotal 的检测结果来看,Scranos 开发的非常成功。研究人员表示,发现Scranos 被用于在用户浏览器中安装恶意扩展,并将数千名用户订阅至某些特定的 YouTube 频道。

集 Rootkit、后门、信息窃取于一身的广告软件

不管谁是幕后黑手,Scranos 是一款强大的新型恶意软件。它的开发人员构建心得功能,而非依赖于已被检测为恶意性质的外部工具。很难将 Scranos 归类为某一类威胁,因为它包含通常现身于后门木马、信息窃取器和广告软件家族中的功能。

然而,不考虑下载并安装到受害者电脑上的活跃模块,急需删除的最高优先级是它的 rootkit 功能。Bitdefender 已发布具体的删除步骤。

完整报告请见:https://www.bitdefender.com/files/News/CaseStudies/study/253/Bitdefender-Whitepaper-RootKit-CREAT3432-en-EN.pdf

 



推荐阅读

LoJax:首个 UEFI rootkit 遭 APT28 利用


原文链接

https://www.zdnet.com/article/scranos-rootkit-expands-operations-from-china-to-the-rest-of-the-world/

https://www.bleepingcomputer.com/news/security/scranos-operation-uses-signed-rootkit-to-steal-login-and-payment-info/


题图:Pixabay License



本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。




【声明】内容源于网络
0
0
代码卫士
奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。本订阅号提供国内外热点安全资讯。
内容 3434
粉丝 0
代码卫士 奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。本订阅号提供国内外热点安全资讯。
总阅读2.3k
粉丝0
内容3.4k