Небезпечний руткіт атакує користувачів по всьому світу

Оператори багатофункціонального руткіта Scranos розширили поле діяльності за кордони Китаю і тепер атакують користувачів по всьому світу. За даними фахівців компанії Bitdefender, найбільше випадків інфікування зафіксовано в Румунії, Франції, Італії, Індії, Бразилії та Індонезії.

Scranos поєднує в собі функції бекдору, інфостілера і рекламного ПЗ і може працювати на всіх версіях Windows. В основному шкідник поширюється через зламане програмне забезпечення, тому в особливій зоні ризику знаходяться користувачі, які мають звичку завантажувати і встановлювати саме таке ПЗ. Заразивши пристрій, Scranos “вкорінюється” на системі і отримує повний контроль над нею.

Поки Scranos знаходиться на стадії розробки, але навіть у такому вигляді шкідливий і дуже небезпечний, відзначають дослідники. Він має модульну структуру, завдяки якій може виконувати різні функції, в тому числі:

• витягувати cookie-файли та облікові дані з браузерів Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu і Яндекс;
• завантажувати і виконувати будь-які корисні навантаження;
• викрадати платіжні дані, які належать жертві екаунтів в Facebook, Amazon або Airbnb; від імені жертви відправляти запити на додавання в друзі в Facebook;
• відправляти фішингові повідомлення друзям користувача в Facebook, що містять шкідливі APK файли (для зараження пристроїв на Android);
• красти облікові дані для авторизації в Steam;
• впроваджувати рекламне ПЗ в Internet Explorer;
• встановлювати розширення для Chrome/Opera для впровадження рекламного ПЗ;
• підписувати жертву на YouTube-канали тощо.

Фахівці Bitdefender виявили кілька випадків, коли Scranos використовувався для встановлення неліцензійних розширень в браузери і підписи тисяч користувачів на певні канали на YouTube.

“Операція постійно вдосконалюється, це доводить той факт, що його [Scranos] творці постійно розробляють новий функціонал, не покладаючись на зовнішні інструменти, які можуть бути розцінені як шкідливі”, – стверджують фахівці.

Індикатори компрометації та інструкції з видалення Scranos доступні в їх звіті.

До речі, у популярному VPN-додатку Shimo Helper Tool для Мас знайдено низку небезпечних уразливостей. У цілому фахівці дослідницької команди Cisco Talos описали шість проблем.

Нагадаємо, що VPN-додатки для Android, які не забезпечують безпеку, а створюють ризик витоку даних користувачів або зливають трафік третім особам, назвали у компанії Metric Labs. Фахівець Симон Мільяно дослідив близько 150 безкоштовних додатків і в багатьох випадках знайшов заявлені функції, які негативно впливають на кібербезпеку.

Майже 60% найпопулярніших безкоштовних VPN-додатків в Google Play Store і Apple App Store створили китайські розробниками або належать власникам з Китаю. Про це йдеться у звіті компанії Metric Labs.