Оператори багатофункціонального руткіта Scranos розширили поле діяльності за кордони Китаю і тепер атакують користувачів по всьому світу. За даними фахівців компанії Bitdefender, найбільше випадків інфікування зафіксовано в Румунії, Франції, Італії, Індії, Бразилії та Індонезії.
Scranos поєднує в собі функції бекдору, інфостілера і рекламного ПЗ і може працювати на всіх версіях Windows. В основному шкідник поширюється через зламане програмне забезпечення, тому в особливій зоні ризику знаходяться користувачі, які мають звичку завантажувати і встановлювати саме таке ПЗ. Заразивши пристрій, Scranos “вкорінюється” на системі і отримує повний контроль над нею.
Поки Scranos знаходиться на стадії розробки, але навіть у такому вигляді шкідливий і дуже небезпечний, відзначають дослідники. Він має модульну структуру, завдяки якій може виконувати різні функції, в тому числі:
- витягувати cookie-файли та облікові дані з браузерів Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu і Яндекс;
- завантажувати і виконувати будь-які корисні навантаження;
- викрадати платіжні дані, які належать жертві екаунтів в Facebook, Amazon або Airbnb; від імені жертви відправляти запити на додавання в друзі в Facebook;
- відправляти фішингові повідомлення друзям користувача в Facebook, що містять шкідливі APK файли (для зараження пристроїв на Android);
- красти облікові дані для авторизації в Steam;
- впроваджувати рекламне ПЗ в Internet Explorer;
- встановлювати розширення для Chrome/Opera для впровадження рекламного ПЗ;
- підписувати жертву на YouTube-канали тощо.
Фахівці Bitdefender виявили кілька випадків, коли Scranos використовувався для встановлення неліцензійних розширень в браузери і підписи тисяч користувачів на певні канали на YouTube.
“Операція постійно вдосконалюється, це доводить той факт, що його [Scranos] творці постійно розробляють новий функціонал, не покладаючись на зовнішні інструменти, які можуть бути розцінені як шкідливі”, – стверджують фахівці.
Індикатори компрометації та інструкції з видалення Scranos доступні в їх звіті.
До речі, у популярному VPN-додатку Shimo Helper Tool для Мас знайдено низку небезпечних уразливостей. У цілому фахівці дослідницької команди Cisco Talos описали шість проблем.
Нагадаємо, що VPN-додатки для Android, які не забезпечують безпеку, а створюють ризик витоку даних користувачів або зливають трафік третім особам, назвали у компанії Metric Labs. Фахівець Симон Мільяно дослідив близько 150 безкоштовних додатків і в багатьох випадках знайшов заявлені функції, які негативно впливають на кібербезпеку.
Майже 60% найпопулярніших безкоштовних VPN-додатків в Google Play Store і Apple App Store створили китайські розробниками або належать власникам з Китаю. Про це йдеться у звіті компанії Metric Labs.
