Aggiornamenti recenti Luglio 10th, 2025 2:02 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Un gruppo APT statunitense ha attaccato industrie cinesi
- Un dipendente ha venduto le proprie credenziali per un colpo da 120 milioni di euro
- Liste di dati sul dark web: una fonte inaffidabile per le analisi di sicurezza. L’approfondimento di Group-IB
- Ingram Micro, dietro l’alt dei sistemi c’è un attacco ransomware
- CERT-AGID 28 giugno – 4 luglio: 79 campagne malevole e MintsLoader all’attacco
Attacchi a 360 gradi con il rootkit Scranos
Il malware è in grado di caricare payload in memoria e cancellarli per evitarne il rilevamento. Obiettivo: incassare denaro in qualsiasi modo possibile.
Ha colpito prima in Cina, ma adesso si sta diffondendo in tutto il mondo attraverso una campagna di attacchi che, secondo i ricercatori di Bitdefender, rischia di allargarsi a macchia d’olio. Scranos, d’altra parte, ha tutte le caratteristiche per avere un certo successo nel settore.
Si tratta di un rootkit che utilizza per l’installazione un certificato digitale valido, probabilmente rubato, e che integra una serie di funzionalità in continua evoluzione. Gli stessi ricercatori lo definiscono un “work in progress”, che sembra evolversi mano a mano che i suoi autori aggiungono nuovi moduli e payload.
Come spiegano dalle parti di Bitdefender in un report pubblicato dalla società di sicurezza, Scranos ha caratteristiche uniche. Si tratta infatti di un rootkit multi-piattaforma che i pirati informatici diffondono inserendone il codice all’interno di software legittimi (come i reader per e-book) o nei classici crack per videogiochi o software.
Una tecnica piuttosto efficace, visto che i cyber-criminali non devono nemmeno preoccuparsi di utilizzare exploit o vulnerabilità per installare il malware, ma possono “introdurlo” in un processo di installazione avviato direttamente dall’utente.
L’uso del certificato digitale registrato a nome di Yun Yu Health Management Consulting, una società con sede a Shangai, gli permette di aggirare i controlli e mantenere un basso profilo.
Nel dettaglio, l’attacco sfrutta un processo distinto in varie fasi, che i ricercatori di Bitdefender hanno analizzato e descritto nel dettaglio.
Il primo componente installato è il dropper, che si preoccupa per prima cosa di rubare alcune informazioni come cookie, credenziali di login e pagamento attraverso delle DLL specializzate che prendono di mira in particolare Facebook, Amazon e Airbnb.
Lo stesso dropper si occupa poi di installare il rootkit sul sistema, che viene avviato a ogni accensione del dispositivo grazie a una modifica del registro.
A questo punto Scranos utilizza il collegamento con il server Command & Control per scaricare e avviare differenti payload, che il rootkit può gestire sotto ogni aspetto. In particolare Scranos adotta una tecnica piuttosto raffinata per far passare inosservata l’attività dei vari moduli che carica, iniettandoli all’interno del processo svchost.exe.
I payload individuati dai ricercatori sono estremamente variegati e comprendono la possibilità di promuovere canali YouTube attraverso Chrome, rubare le credenziali del servizio di gaming Steam, utilizzare l’account di Facebook per inviare spam e collegamenti ad app mobile infette, sottrarre i dati riguardanti la cronologia di navigazione su Internet.
Scranos, poi, dedica una particolare attenzione a Chrome, installando una serie di estensioni che hanno l’obiettivo di modificare il motore di ricerca predefinito e attirare la vittima su siti pericolosi, presumibilmente controllati dagli stessi pirati informatici o da loro affiliati.
Insomma: per gli autori di Scranos, le vittime sono come il maiale: non si butta via niente. Considerato l’impianto di base del rootkit, però, è probabile che in un prossimo futuro potremo vedere ulteriori evoluzioni.
Condividi l'articolo
I bot pirata rappresentano il 20% del traffico su Internet
Falla negli smartwatch TicTocTrack e i pirati possono tracciare i bambini
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha... -
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Un gruppo APT statunitense ha attaccato industrie cinesi Un nuovo gruppo APT entra nei radar dei ricercatori di... -
Un dipendente ha venduto le proprie credenziali per un... Un gruppo di cybercriminali ha rubato circa 140 milioni... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo...
-
Ingram Micro, dietro l’alt dei sistemi c’è un... Da giovedì scorso Ingram Micro sta soffrendo per via di... -
CERT-AGID 28 giugno – 4 luglio: 79 campagne malevole e... Nella settimana appena trascorsa, il CERT-AGID ha...
Ransomware: la serie
No posts found.