Scranos, un spyware con múltiples capacidades maliciosas

  • Endpoint

Este malware tiene un diseño modular y es capaz de robar credenciales de redes sociales y de banca online, así como de exfiltrar el historial de navegación y las cookies, obtener subscriptores de youtube, mostrar anuncios y descargar otros ejecutables.

RECOMENDADOS:

Tecnologías que dan al dato el protagonismo que merece (WEBINAR) 

Cinco retos de la innovación en cloud

Informe IT Trends 2019: La realidad digital de la empresa española

Mejores prácticas para implementar una plataforma ágil

Robo de credenciales: prioriza la seguridad de tus apps

Instalación de Redes WiFi y LAN en Hoteles

Investigadores de BItdefender han analizado un malware bautizado como Scranos, que fue descubierto por primera vez el año pasado y que ha ido incorporando continuas mejoras. Este spyware, que inicialmente ponía foco en ciudadanos chinos, ha ido ampliando su alcance a todo el mundo.

Scranos se distribuye principalmente en páginas de descargas como software crackeado o troyanizando aplicaciones legítimas como reproductores de vídeo, drivers o incluso antivirus. Con un diseño modular, el malware consigue persistencia mediante la instalación de un rootkit en un driver firmado digitalmente con un certificado que se cree fue obtenido de manera fraudulenta. Dicho certificado fue expedido a Yun Pu Health Management Consulting (Shangai) y de momento aún no ha sido revocado.

Una vez que el PC ha sido infectado, el malware inyecta un descargador en un proceso legítimo para poder comunicar con el servidor de comando y control desde el que se descargarán uno o más cargas útiles, dependiendo de las circunstancias. Entre las cargas útiles que pueden lanzarse se encuentran:

--Robo de credenciales y de historial de navegación de Chrome, Chromium, Firefox, Edge, Internet Explorer, Baidu browser y Yandex. También puede robar cookies de Facebook, Youtube, Amazon y Airbnb.

--Instalador de extensiones con adware en Chrome para insertar ads en todas las webs que el usuario visite.

--Stealer para Steam. Este componente roba las credenciales del usuario de la plataforma Steam, incluyendo también los juegos instalados.

--El malware también es capaz de interactuar con Youtube y Facebook haciéndose pasar por la víctima para enviar solicitudes de amistad y enviarles spam.

TAGS