Aggiornamenti recenti Settembre 12th, 2025 4:31 PM
Apr 17, 2019 Marco Schiaffino Attacchi, In evidenza, Malware, Minacce, News, RSS, Trojan 0
Ha colpito prima in Cina, ma adesso si sta diffondendo in tutto il mondo attraverso una campagna di attacchi che, secondo i ricercatori di Bitdefender, rischia di allargarsi a macchia d’olio. Scranos, d’altra parte, ha tutte le caratteristiche per avere un certo successo nel settore.
Si tratta di un rootkit che utilizza per l’installazione un certificato digitale valido, probabilmente rubato, e che integra una serie di funzionalità in continua evoluzione. Gli stessi ricercatori lo definiscono un “work in progress”, che sembra evolversi mano a mano che i suoi autori aggiungono nuovi moduli e payload.
Come spiegano dalle parti di Bitdefender in un report pubblicato dalla società di sicurezza, Scranos ha caratteristiche uniche. Si tratta infatti di un rootkit multi-piattaforma che i pirati informatici diffondono inserendone il codice all’interno di software legittimi (come i reader per e-book) o nei classici crack per videogiochi o software.
Una tecnica piuttosto efficace, visto che i cyber-criminali non devono nemmeno preoccuparsi di utilizzare exploit o vulnerabilità per installare il malware, ma possono “introdurlo” in un processo di installazione avviato direttamente dall’utente.
L’uso del certificato digitale registrato a nome di Yun Yu Health Management Consulting, una società con sede a Shangai, gli permette di aggirare i controlli e mantenere un basso profilo.
Nel dettaglio, l’attacco sfrutta un processo distinto in varie fasi, che i ricercatori di Bitdefender hanno analizzato e descritto nel dettaglio.
Il primo componente installato è il dropper, che si preoccupa per prima cosa di rubare alcune informazioni come cookie, credenziali di login e pagamento attraverso delle DLL specializzate che prendono di mira in particolare Facebook, Amazon e Airbnb.
Lo stesso dropper si occupa poi di installare il rootkit sul sistema, che viene avviato a ogni accensione del dispositivo grazie a una modifica del registro.
A questo punto Scranos utilizza il collegamento con il server Command & Control per scaricare e avviare differenti payload, che il rootkit può gestire sotto ogni aspetto. In particolare Scranos adotta una tecnica piuttosto raffinata per far passare inosservata l’attività dei vari moduli che carica, iniettandoli all’interno del processo svchost.exe.
I payload individuati dai ricercatori sono estremamente variegati e comprendono la possibilità di promuovere canali YouTube attraverso Chrome, rubare le credenziali del servizio di gaming Steam, utilizzare l’account di Facebook per inviare spam e collegamenti ad app mobile infette, sottrarre i dati riguardanti la cronologia di navigazione su Internet.
Scranos, poi, dedica una particolare attenzione a Chrome, installando una serie di estensioni che hanno l’obiettivo di modificare il motore di ricerca predefinito e attirare la vittima su siti pericolosi, presumibilmente controllati dagli stessi pirati informatici o da loro affiliati.
Insomma: per gli autori di Scranos, le vittime sono come il maiale: non si butta via niente. Considerato l’impianto di base del rootkit, però, è probabile che in un prossimo futuro potremo vedere ulteriori evoluzioni.
Lug 15, 2024 0
Lug 09, 2024 0
Giu 17, 2024 0
Apr 04, 2024 0
Set 12, 2025 0
Set 11, 2025 0
Set 10, 2025 0
Set 09, 2025 0
Set 12, 2025 0
L’intelligenza artificiale diventa non solo...Set 11, 2025 0
Il ransomware continua a dilagare e rimane la minaccia...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Ago 04, 2025 0
I chatbot basati su modelli linguistici di grandi...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 12, 2025 0
L’intelligenza artificiale diventa non solo...Set 11, 2025 0
Il ransomware continua a dilagare e rimane la minaccia...Set 10, 2025 0
Google dovrà pagare una multa salata da 425 milioni per...Set 09, 2025 0
I ricercatori di Arctic Wolf hanno scoperto GPUGate, una...Set 08, 2025 0
I ricercatori di Security Bridge hanno scoperto che una...