Aggiornamenti recenti Dicembre 23rd, 2025 10:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Kaspersky: così funziona il mercato del lavoro nel dark web
- Kaspersky: il cybercrime finanziario ha alzato il livello nel 2025
- CERT-AGID 13-19 dicembre: phishing PagoPA e smishing INPS
- Una vulnerabilità di ASUS Live Update di sette anni fa viene ancora sfruttata
- Il cybercrime si evolve velocemente e l’IA diventa protagonista: le previsioni di Group-IB per il 2026
Attacchi a 360 gradi con il rootkit Scranos
Il malware è in grado di caricare payload in memoria e cancellarli per evitarne il rilevamento. Obiettivo: incassare denaro in qualsiasi modo possibile.
Ha colpito prima in Cina, ma adesso si sta diffondendo in tutto il mondo attraverso una campagna di attacchi che, secondo i ricercatori di Bitdefender, rischia di allargarsi a macchia d’olio. Scranos, d’altra parte, ha tutte le caratteristiche per avere un certo successo nel settore.
Si tratta di un rootkit che utilizza per l’installazione un certificato digitale valido, probabilmente rubato, e che integra una serie di funzionalità in continua evoluzione. Gli stessi ricercatori lo definiscono un “work in progress”, che sembra evolversi mano a mano che i suoi autori aggiungono nuovi moduli e payload.
Come spiegano dalle parti di Bitdefender in un report pubblicato dalla società di sicurezza, Scranos ha caratteristiche uniche. Si tratta infatti di un rootkit multi-piattaforma che i pirati informatici diffondono inserendone il codice all’interno di software legittimi (come i reader per e-book) o nei classici crack per videogiochi o software.
Una tecnica piuttosto efficace, visto che i cyber-criminali non devono nemmeno preoccuparsi di utilizzare exploit o vulnerabilità per installare il malware, ma possono “introdurlo” in un processo di installazione avviato direttamente dall’utente.
L’uso del certificato digitale registrato a nome di Yun Yu Health Management Consulting, una società con sede a Shangai, gli permette di aggirare i controlli e mantenere un basso profilo.
Nel dettaglio, l’attacco sfrutta un processo distinto in varie fasi, che i ricercatori di Bitdefender hanno analizzato e descritto nel dettaglio.
Il primo componente installato è il dropper, che si preoccupa per prima cosa di rubare alcune informazioni come cookie, credenziali di login e pagamento attraverso delle DLL specializzate che prendono di mira in particolare Facebook, Amazon e Airbnb.
Lo stesso dropper si occupa poi di installare il rootkit sul sistema, che viene avviato a ogni accensione del dispositivo grazie a una modifica del registro.
A questo punto Scranos utilizza il collegamento con il server Command & Control per scaricare e avviare differenti payload, che il rootkit può gestire sotto ogni aspetto. In particolare Scranos adotta una tecnica piuttosto raffinata per far passare inosservata l’attività dei vari moduli che carica, iniettandoli all’interno del processo svchost.exe.
I payload individuati dai ricercatori sono estremamente variegati e comprendono la possibilità di promuovere canali YouTube attraverso Chrome, rubare le credenziali del servizio di gaming Steam, utilizzare l’account di Facebook per inviare spam e collegamenti ad app mobile infette, sottrarre i dati riguardanti la cronologia di navigazione su Internet.
Scranos, poi, dedica una particolare attenzione a Chrome, installando una serie di estensioni che hanno l’obiettivo di modificare il motore di ricerca predefinito e attirare la vittima su siti pericolosi, presumibilmente controllati dagli stessi pirati informatici o da loro affiliati.
Insomma: per gli autori di Scranos, le vittime sono come il maiale: non si butta via niente. Considerato l’impianto di base del rootkit, però, è probabile che in un prossimo futuro potremo vedere ulteriori evoluzioni.
Condividi l'articolo
I bot pirata rappresentano il 20% del traffico su Internet
Falla negli smartwatch TicTocTrack e i pirati possono tracciare i bambini
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Kaspersky: così funziona il mercato del lavoro nel dark Il dark web non è più soltanto un luogo di scambio di... -
Kaspersky: il cybercrime finanziario ha alzato il livello... Nel 2025 la pressione cyber sul settore finanziario è... -
Il cybercrime si evolve velocemente e l’IA diventa... Se c’è una cosa su cui tutti concordano è che... -
Il cybercrime si evolve e si adatta, integrando l’IA... Il secondo semestre del 2025 ha segnato un punto di svolta... -
L’IA al centro delle strategie di cybersecurity... Il 2025 sta giungendo al termine e nel mondo della...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Kaspersky: il cybercrime finanziario ha alzato il livello... Nel 2025 la pressione cyber sul settore finanziario è...
-
CERT-AGID 13-19 dicembre: phishing PagoPA e smishing INPS Nel corso della settimana appena analizzata, il CERT-AGID... -
Una vulnerabilità di ASUS Live Update di sette anni fa... Una vecchia vulnerabilità di ASUS Live Update è ancora... -
Il cybercrime si evolve velocemente e l’IA diventa... Se c’è una cosa su cui tutti concordano è che...
-
Kaspersky, le PMI italiane sono un bersaglio strutturale... Mezzo milione di nuovi file malevoli al giorno. È
Ransomware: la serie
No posts found.