Phần mềm độc hại Scranos đã quay lại với các tính năng được nâng cấp

Nhóm đứng sau chiến dịch lây nhiễm phần mềm quảng cáo độc hại nhắm vào các thiết bị sử dụng hệ điều hành Windows và Android hoạt động ở cả châu Âu và Hoa Kỳ đã thay đổi các kỹ thuật tấn công và thêm các vũ khí mới bao gồm mã độc đào tiền điện tử và Trojan (chương trình máy tính thường ẩn mình dưới dạng một chương trình hợp pháp hữu ích để tiến hành các thao tác khác) để kiếm thêm tiền từ các thiết bị bị lây nhiễm.

Chi tiết về phần mềm độc hại Scranos đa chức năng lần đầu tiên xuất hiện vào tháng 4 nhưng ngay sau đó, những kẻ tấn công đã mất đi cơ chế chính duy trì sự dai dẳng và tính ngụy trang khi việc sử dụng bất hợp pháp chứng chỉ xác thực chữ ký số của chúng bị phát hiện và thu hồi.

Nhưng điều đó đã không ngăn được những kẻ tội phạm mạng này. Chỉ trong vài tuần, Scranos đã cập nhật các phương thức tấn công của mình trong nỗ lực xây dựng lại mạng botnet (mạng máy tính được tạo lập từ các máy tính bị điều khiển từ xa bởi tội phạm mạng) của chúng.

Các kỹ thuật mới Scranos sử dụng đã được các nhà nghiên cứu an ninh mạng tại Bitdefender, những người đã phát hiện ra phần mềm độc hại này vào đầu năm nay, trình bày chi tiết. Người ta tin rằng chiến dịch này có nguồn gốc từ Trung Quốc - nhưng tác động của nó là toàn cầu.

"Việc huy động nhanh chóng các máy chủ điều hành của mình để ngăn chặn thiệt hại và duy trì sự kiểm soát đối với các thiết bị đã bị lây nhiễm cho thấy những kể tấn công chưa sẵn sàng từ bỏ", ông Bogdan Botezatu, Giám đốc nghiên cứu và báo cáo về mối đe dọa tại Bitdefender nói với ZDNet.

"Chúng đưa ra một cách tiếp cận mới, che giấu phần mềm độc hại của mình đằng sau các tệp thực thi của Microsoft”.

Phiên bản mới của Scranos đi kèm với một kỹ thuật lây nhiễm được cập nhật dựa trên ứng dụng giả mạo có tên là CClear. CClear bắt chước ứng dụng tối ưu hóa hệ thống hợp pháp hiện đang được sử dụng rộng rãi là CCLeaner và nó được quảng cáo là thực hiện các chức năng tương tự.

Một chương trình (phần mềm) độc hại được thiết kế để cài đặt các virus được cài vào máy nạn nhân thông qua việc sử dụng kết hợp quảng cáo độc hại và ẩn trong các gói phần mềm khác.

Sau khi tải xuống và cài đặt, chương trình độc hại này liên lạc với máy chủ chỉ huy và điều khiển, thay thế một trong những tập tin lưu trữ thông tin IP của các máy chủ và tên miền bằng tệp mới được tải xuống, đồng thời cố gắng đánh cắp cookie, thông tin đăng nhập, thông tin Facebook và tài khoản thanh toán. Nó cũng sẽ tải xuống và cài đặt Chrome và Firefox (trong trường hợp chúng không có sẵn trong máy của nạn nhân) vì nó cần sử dụng các thành phần mở rộng trong những ứng dụng này để hoạt động.

Từ đây, một tệp thực thi hợp pháp của Microsoft được đặt trong cùng thư mục với tệp DLL (Dynamic Link Library- thư viện liên kết động chứa những hướng dẫn mà các chương trình khác có thể gọi đến để làm một tác vụ nào đó) độc hại để đảm bảo chương trình độc hại vẫn tồn tại và hoạt động sau khi nạn nhân khởi động lại hệ thống. Đồng thời, ứng dụng CClear giả được cài đặt và thậm chí màn hình thiết bị của nạn nhân còn xuất hiện một phím tắt để ngăn chặn mọi nghi ngờ từ phía người dùng. Hơn thế nữa, ứng dụng giả này còn có giao diện hoạt động - mặc dù trong thực tế khi khởi chạy nó không làm gì cả.

Cuối cùng, trình tải xuống thực tế được cài đặt bằng quy trình rundll32.exe mới được tạo, cho phép Scranos tải xuống và thực hiện các vũ khí bổ sung.

Bằng cách sử dụng các tệp thực thi Windows hợp pháp trong quá trình cài đặt, Scranos để lại rất ít dấu vết, thậm chí hòa trộn với lưu lượng mạng tiêu chuẩn và do đó giảm nguy cơ bị phát hiện trước khi tạo ra lợi nhuận cho những kẻ tấn công.

Mục tiêu chính của Scranos là tạo lưu lượng truy cập đến các URL theo chỉ dẫn của máy chủ chỉ huy và kiểm soát. Các URL này chứa các quảng cáo, video và các liên kết khác được chạy bằng một phiên bản ẩn của Google Chrome. Mỗi URL được mở trong một tab mới với tạo ra doanh thu cho những kẻ tấn công. Điều này được thực hiện trong nền và người dùng không hề biết đến nó.

Nhưng chiến dịch tấn công không chỉ đơn giản là gian lận quảng cáo, những kẻ đứng sau Scranos đã thêm một số vũ khí mới trong lần cải tiến mới nhất của nó - bao gồm cả trojan có tên Yoddos.

Yoddos không phải là một trojan mới. Nó xuất hiện từ năm 2012 với khả năng mở ra một cửa hậu trong các máy bị lây nhiễm, đồng thời sử dụng các hệ thống để thực hiện những cuộc tấn công từ chối dịch vụ.

Các nhà nghiên cứu tin rằng Yoddos đang được triển khai để đem đến các loại phần mềm độc hại khác - và nó là một phần của kế hoạch kiếm tiền khác, cụ thể, những kẻ khai thác Scranos có thể cho thuê mạng của chúng để các tội phạm khác thả các vũ khí mới vào.

"Rất có thể, lý do đằng sau việc đẩy một trojan vào là vì nó có mối liên hệ chặt chẽ với với mô hình kinh doanh thứ cấp. Khi đã có được vị trí vững chắc trong thiết bị của nạn nhân, nhóm Scranos bắt đầu cho thuê quyền truy cập vào cơ sở hạ tầng để những tội phạm mạng khác có thể thả thêm các vũ khí vào," Botezatu nói.

Scranos cũng được trang bị với một công cụ khai thác tiền điện tử bí mật sử dụng sức mạnh xử lý của các máy bị lây nhiễm để tạo Monero (một loại tiền tệ mã hóa phân cấp tương tự như Bitcoin, nhưng với một tập trung mạnh hơn về quyền riêng tư và phân cấp, cũng như với một cách tiếp cận khác nhau đối với khả năng mở rộng) cho những kẻ tấn công - cung cấp cho chúng một nguồn doanh thu khác.

Chưa hết, Scranos còn đánh cắp thông tin đăng nhập của nhiều loại tài khoản khác nhau như Facebook, Amazon, Airbnb và hơn thế nữa trong quá trình cài đặt và sau đó, bán chúng cho những kẻ tội phạm để kiếm thêm thu nhập.

Botezatu nói: "Có lẽ các tài khoản này đang được rao bán ở các thị trường đen hoặc mở đường cho một cơ hội kinh doanh khác".

Quy mô chính xác của botnet Scranos vẫn chưa được xác định nhưng nó được cho là lớn khi mà sự lây nhiễm được phát hiện trên khắp thế giới, trong đó Hoa Kỳ, Brazil và Ấn Độ chiếm tỷ trọng lớn nhất.

Mặc dù Scranos đang sinh sôi nảy nở nhưng nó cũng khá dễ để tránh. Với phương pháp cài đặt chính là thông qua khuyến khích tải xuống, người dùng có thể tránh phần mềm độc hại này bằng cách thận trọng trước những gì mình cài đặt và chỉ tải xuống các ứng dụng từ những trang web đáng tin cậy.

"Phần mềm vi phạm bản quyền không chỉ là gốc rễ của Scranos mà nó còn trở thành một cơ chế phân phối quan trọng của các mã độc tống tiền. Nếu nghi ngờ, đừng cài đặt các ứng dụng từ những trang web của bên thứ ba - thay vào đó hãy vào trang chủ của nhà cung cấp và tải," Botezatu nói.

"Quan trọng nhất, nếu giải pháp bảo mật của bạn phát hiện ra thứ gì đó trong phần mềm mà bạn sắp cài đặt và chặn nó, đừng cố tạm dừng bảo vệ và thử lại cài đặt", ông nói thêm.

Danh sách toàn bộ các dấu hiệu của việc bị xâm phạm được chi tiết trong phân tích đầy đủ của Bitdefender về Scranos sẽ được công bố sớm trong tương lai.