Pokušava da obnovi svoj botnet
Veliki dijelovi Scranos operacije su izvedeni u aprilu – ali već su se vratili, a kriminalci koji stoje iza njega su odlučniji nego ikada, dodajući trojanca i kriptogotera u svoju adware šemu.
Grupa koja se zalaže za kampanju malicioznog softvera i Windowsa i Android uređaja u adware operaciji širom Evrope i SAD-a, izmijenila je svoje tehnike napada i dodala nove opasne sadržaje, uključujući kriptominer i trojanca da bi zarazili što više uređaja.
Detalji o multifunkcionalnom malicioznom Scranosu pojavili su se u aprilu, ali ubrzo nakon toga, operatori su izgubili glavni mehanizam upornosti i prerušavanja kada im je oduzeta nezakonita upotreba Authenticode certifikata.
Ali to nije zaustavilo kriminalnu planiranu aktivnost, jer je za samo nekoliko nedjelja Scranos već ažurirao svoje metode napada u pokušaju da obnovi svoj botnet.
Nove tehnike koje je Scranos koristio detaljno su opisali istraživači sajber bezbjednosti u Bitdefenderu – koji su takođe bili odgovorni za otkrivanje kampanje malware-a ranije ove godine. Veruje se da je kampanja potekla iz Kine – ali njeni efekti se osjećaju širom sveta.
„Brza mobilizacija njenih operatera kako bi se smanjila šteta i održala kontrola već zaraženih mašina otkriva da oni još nisu bili spremni odustati“, izjavio je za ZDNet Bogdan Botezatu, direktor za istraživanje i izvještavanje o pretnjama u Bitdefenderu.
„Došli su sa novim pristupom u sakrivanju svog malvera iza Microsoftovih izvršnih datoteka i počeli su da šire nove opasne sadržaje kako bi se napadi nastavili i napadači ostvarili prihode“.
Napada pod plaštom CClear-a
Nova verzija Scranosa dolazi sa ažuriranom tehnikom infekcije koja se temelji na lažnoj aplikaciji pod nazivom CClear. Zasnovan je na legitimnoj i široko korišćenoj aplikaciji za optimizaciju sistema CCLeaner i oglašava se kao obavljanje sličnih funkcionalnosti.
Droper malware-a se isporučuje pomoću kombinacije malware-a i pakiranja unutar drugih softverskih paketa.
Jednom preuzeto i instalirano, kapaljka kontaktira komandni i kontrolni server i zamjenjuje jednu od datoteka domaćina novim preuzimanjem, kao i pokušaj krađe kolačića, akreditacija za prijavu, Facebook informacija i računa za plaćanje.
Droper će takođe preuzeti i instalirati Chrome i Firefox ako oni nisu na sistemu jer treba da koristi plug-inove u njima da rade.
Odavde, legitimna Microsoftova izvršna datoteka smještena je u istu fasciklu kao zlonamerni DLL da bi se osiguralo da je zlonamjerni softver postojan i da ostane aktivan nakon ponovnog pokretanja sistema.
U isto vrijeme, lažna CClear aplikacija je instalirana i čak ima prečicu na radnoj površini da bi zaustavila svaku sumnju korisnika da su bili prevareni. Čak ima funkcionalan korisnički interfejs – iako u stvarnosti kada se pokreće, ne radi ništa.
Konačno, stvarni downloader se instalira koristeći novo kreirani proces rundll32.exe, dozvoljavajući Scranosu da preuzme i izvrši dodatne korisne podatke.
Koristeći legitimne Windows izvršne fajlove u procesu instalacije, Scranos ostavlja nekoliko tragova svoje aktivnosti iza sebe, čak se i uklapa sa standardnim mrežnim saobraćajem i tako smanjuje rizik od otkrivanja prije nego što je generisao prihod napadačima.
Ključni cilj Scranosa je generisanje saobraćaja na URL-ove prema uputama komandnih i kontrolnih servera. Ovi URL-ovi sadrže različite reklame, videozapise i druge veze za generiranje prihoda koje se pokreću pomoću skrivene instance Google Chromea.
Svaki URL se otvara u novoj kartici sa svakim prihodom za napadače. Ovo se radi iza scene, bez znanja korisnika.
Hakeri koji stoje iza Scranosa dodaju i nekoliko novih sadržaja najnovijoj iteraciji malvera – uključujući i Yoddos trojanca.
Yoddos nije novi trojanac. On postoji od 2012. godine i obezbeđuje backdoor na zaraženim mašinama, pored toga što može da koristi sisteme za DDoS napade.
Istraživači vjeruju da se Yoddos koristi za isporuku drugih vrsta zlonamjernih programa – i da je dio drugog dijela programa novčanih sredstava, s operaterima Scranosa koji iznajmljuju svoju mrežu drugim kriminalcima da ispuste nove korisne sadržaje.
„Najvjerovatnije, razlog za guranje petogodišnjeg trojanca ide ruku pod ruku sa sekundarnim poslovnim modelom lopova. Kada su stekli značajno uporište na mašinama žrtava, tim Scranosa je počeo iznajmljivati pristup infrastrukturi tako da sajber kriminalci bi mogli žrtvama da isporuče dodatni teret “, rekao je Botezatu.
Nije Scranos svemoguć
Scranos takođe dolazi sa rudnikom kripto-valute koji tajno koristi procesorsku snagu zaraženih mašina da bi generisao Monero za napadače – obezbeđujući im još jedan tok prihoda.
I ako to nije bilo dovoljno, razlog zašto Scranos krade informacije za prijavu za različite vrste računa, kao što su Facebook, Amazon, Airbnb i više tokom procesa instalacije je tako da napadači takođe mogu zaraditi od toga prodajom drugim kriminalcima.
„Oni se vjerovatno ili ponovo prodaju na crnim tržištima ili otvaraju put poslovnoj prilici koja je trenutno na mapi puta“, rekao je Botezatu.
Tačna veličina botneta Scranos-a nije poznata, ali se smatra da je velika sa infekcijama otkrivenim širom svijeta, a SAD, Brazil i Indija su odgovorne za neke od najviših nivoa detekcije.
Iako je Scranos postao plodan, lako ga je i izbjeći. Sa glavnom metodom instalacije putem ohrabrujućih preuzimanja, korisnici bi mogli lako da izbjegnu malware tako što će paziti šta instaliraju – i samo preuzimanjem aplikacija sa pouzdanih web stranica.
„Piratski softver nije samo uzrok Scranos-a, već je postao i važan mehanizam za isporuku Ransomware-a. Ako sumnjate, nemojte instalirati aplikacije sa web-lokacija trećih strana – radije idite na stranicu proizvođača i nabavite kopiju softvera, reče Botezatu.
„Ono što je najvažnije, ako sigurnosno rješenje otkrije nešto u softveru koji ćete instalirati i blokira, ne pokušavajte pauzirati zaštitu i ponovo pokušati instalaciju“, dodao je on.
(zdnet)
