Phần mềm độc hại Scranos sử dụng Rootkit để đánh cắp thông tin

11:35 AM 20/04/2019 In bài viết

Các nhà nghiên cứu đã phát hiện ra một phần mềm độc hại Scranos, lây nhiễm vào các công cụ Rootkit. Sau khi cài đặt, phần mềm có thể tải xuống dữ liệu ở bất kỳ dung lượng nào mà nhà điều hành của phần mềm này chọn. Các mục tiêu bao gồm các trình duyệt phổ biến như Chrome, Chromium, Firefox, Opera, Edge, Internet Explorer, Yahoo và Yandex và các dịch vụ Facebook, Amazon, Airbnb, Steam và Youtube.

Scranos còn tương đối mới trên thị trường.

Các nhà nghiên cứu tại Trung tâm tình báo đe dọa Tencent đã thông báo về hoạt động của Scranos lần đầu tiên là vào đầu tháng 1/2019. Trung tâm cũng đã tập trung phân tích kỹ thuật về một số thành phần được tải xuống trên các máy tính bị nhiễm. Tuy nhiên, các nhà nghiên cứu mới cho thấy các phiên bản sớm nhất liên quan đến rootkit là từ tháng 11 năm 2018, vì vậy Scranos còn rất mới trong thị trường.

Rootkit sẽ lây nhiễm vào các hệ thống Windows thông qua phần mềm giả mạo như là các tiện ích nhái hoặc các ứng dụng hợp pháp như trình đọc sách điện tử, trình phát video và thậm chí các giải pháp chống phần mềm độc hại.

Để có thể xâm nhập hoàn toàn vào máy chủ nạn nhân, Scranos tự viết lại vào phần ổ đĩa trước khi máy tính tắt. Scranos giữ một cấu hình thấp và xóa tất cả dữ liệu ngay sau khi chúng đạt được mục đích; nếu cần, chúng có thể truy xuất thông tin sau đó đưa trình tải xuống vào quy trình 'svchost.exe' hợp pháp.

Theo phân tích từ Bitdefender Labs, bản thân trình tải xuống rootkit là đa chức năng; rootkit cũng có thể trích xuất thông tin đăng nhập từ các trình duyệt đã nói ở trên và sử dụng các DLL chuyên dụng.

Scranos trải khắp thế giới

Các nhà nghiên cứu Rumani phát hiện ra rằng vấn đề xuất phát từ một trong những người dùng đăng ký theo dõi các kênh YouTube. Ngạc nhiên hơn nữa là các nghiên cứu của Tencent cho rằng nguồn gốc của Scranos là ở Trung Quốc, đất nước mà Youtube bị chặn ở cấp quốc gia.

Tuy nhiên, Bitdefender cho biết rằng hoạt động của Scranos tiếp tục phát triển và lan rộng tới các máy tính ở Ấn Độ, Romania, Brazil, Pháp, Ý và Indonesia.

Dữ liệu đa dạng

Dữ liệu (payload) đăng ký YouTube sử dụng Chrome ở chế độ gỡ lỗi và ẩn khỏi thanh tác vụ, mặc dù quá trình này vẫn hiển thị. Nếu Chrome không có trên máy tính bị nhiễm, phần mềm độc hại sẽ tự cài đặt trên hệ thống.

Bitdefender viết trong một báo cáo được chia sẻ với BleepingComputer: "sau khi nhận được trang YouTube từ C&C, URL được mở trong Chrome và dữ liệu (payload) sẽ hướng dẫn Chrome thực hiện nhiều hành động lừa đảo khác nhau trong trình duyệt: bắt đầu video, tắt tiếng video, đăng ký kênh, nháy vào quảng cáo. Các thao tác này được thực hiện thông qua lệnh gỡ lỗi.”

Trong một ngày, lượng dữ liệu (payload) trên YouTube có thể chạy một chương trình khuyến mãi mạnh mẽ cho một kênh cụ thể, mang lại hơn 3.100 người đăng ký mới.

Dữ liệu để cài đặt tiện ích mở rộng trình duyệt nhắm mục tiêu vào Chrome, Opera và Internet Explorer. Tiện ích mở rộng còn được thiết kế để thêm JavaScript trên các trang web, thêm tùy chọn menu ngữ cảnh hoặc thay đổi công cụ tìm kiếm mặc định.

Chrome có thể thêm các tiện ích mở rộng như bộ lọc Chrome, Fierce-tips và PDF-Maker, phần mở rộng cuối cùng luôn có sẵn trên Cửa hàng Chrome trực tuyến, được cài đặt bởi khoảng 128.000 người dùng.

Dữ liệu Facebook chịu trách nhiệm spam gửi yêu cầu kết bạn và tin nhắn lừa đảo có liên kết đến APK Android. Sau đó, APK Android đánh cắp cookie Facebook từ Chrome và các trình duyệt dựa trên Chromium khác và Mozilla Firefox.

Để lấy thông tin tương tự từ Edge của Microsoft, APK Android phải dựa vào EdgeCookiesView, một công cụ hợp pháp của nhà phát triển Nirsoft, sản phẩm đã được các nhà phát triển phần mềm độc hại kết hợp trong quá khứ.

Phần mềm độc hại Scranos được bao gồm trong trình tải xuống rootkit ban đầu, có thể đánh cắp được thông tin lưu trữ trong tài khoản Steam,nhưng phần mềm độc hại này cũng tồn tại như một thành phần riêng biệt.

Phần mềm độc hại Scranos bắt đầu bằng cách đặt lại các chỉ tiêu đăng ký với mục đích ghi nhớ thông tin đăng nhập tài khoản Steam vì vậy người dùng bắt buộc phải đăng nhập lại. Ngoài thông tin đăng nhập, dữ liệu bị đánh cắp bao gồm danh sách các trò chơi được cài đặt trên hệ thống, thời gian chơi lần cuối và các trò chơi có sẵn trong tài khoản Steam.

Các nhà nghiên cứu của Bitdefender cho biết rằng hoạt động của Scranos vẫn đang trong quá trình cải thiện và lan sang các khu vực khác. Tỷ lệ lây nhiễm ra toàn cầu tại thời điểm này là thấp - dưới 5.000 máy tại các quốc gia ngoài Trung Quốc, chủ yếu trên các máy tính Windows 10.

Ngọc Phượng