Scranos colpisce ancora – Bitdefender svela le nuove modalità utilizzate per generare entrate pubblicitarie

Bitdefender annuncia che dopo la scoperta e la denuncia del malware Scranos da parte dei propri ricercatori, i criminali hanno ripreso le loro attività utilizzando altri metodi.

In Aprile, Bitdefender ha diffuso la notizia di un nuovo botnet emergente chiamato Scranos. Originario della Cina, si è diffuso in Europa e negli Stati Uniti, colpendo gli utenti di dispositivi Windows e Android, caduti nella trappola delle truffe pubblicitarie e della manipolazione dei loro account sui social network. Il report Bitdfender aveva messo sotto i riflettori le attività dei malintenzionati dietro Scranos e evidenziando il loro uso illegale dei certificati digitali, tra cui Authenticode tra gli altri. Dopo che Bitdefender ha segnalato a Digicert l’utilizzo del certificato digitale per firmare il driver del rootkit a scopo fraudolento, i criminali che agiscono alle spalle di Scranos hanno perso la possibilità di utilizzare il loro meccanismo principale per continuare ad operare nell’ombra. Quando è stato pubblicato il Report Scranos, i criminali si sono così resi conto di essere stati scoperti e che il loro modus operandi era stato smascherato, segnalato alle autorità e fermato.

I ricercatori di Bitdefender hanno però continuato a tenere d’occhio gli sviluppi della situazione nelle settimane successive alla pubblicazione del report e hanno documentato come i criminali abbiano cercato di ricostruire la rete bot e di ripristinarne le funzionalità. Il risultato di queste ulteriori analisi ha portato all’identificazione di nuove modalità utilizzate per generare entrate pubblicitarie in background visitando URL casuali con Google Chrome mascherando questi annunci pubblicitari come se fossero notifiche, che in realtà però generano entrate pubblicitarie aggiuntive a spese dell’utente.

Nel nuovo Report elaborato dopo la scoperta della ripresa delle attività, i ricecatori di Bitdefender evidenziano:

  • come il gruppo di criminali informatici abbia cercato di compensare la perdita del certificato digitale rubato utilizzando un altro metodo di persistenza basato sul dirottamento DLL degli eseguibili legittimi Microsoft.
  • Un resoconto dettagliato di come gli aggressori stiano ricostruendo l’infrastruttura di comando e controllo e le informazioni sull’algoritmo di generazione dei domini nei nuovi esemplari.
  • Nuove funzionalità per sostituire i file host – i criminali sono in grado di reindirizzare qualsiasi sito web al proprio o limitare l’accesso ad alcuni domini.
  • Un nuovo payload utilizzato per generare entrate pubblicitarie visitando URL casuali
  • Un nuovo script introdotto nelle pagine visitate per la visualizzazione degli annunci e il reindirizzamento delle ricerche web
  • I payload che rubano i dati di Facebook sono ancora ampiamente utilizzati:Scranos è in grado di rubare informazioni relative a Facebook nome utente, password, cookie, informazioni su pagamenti, numero di amici
  • Una falsa applicazione è stata sviluppata dai criminali per diffondere il malware Scranos a nuovi utenti.
  • La presenza di un Trojan spinto da Scranos in grado di sferrare attacchi DDoS (Distributed Denial of Service) e di disabilitare i servizi di sicurezza di Windows.
  • Un Trojan spinto da Scranos che trasforma il dispositivo in un miner di criptovaluta.
Written by
La tecnologia è pane quotidiano per i miei denti, mi piace essere aggiornata in ambito multimediale e tecnologico. Adoro The Walking Dead e tutte le serie horror in genere. Sono una grande tifosa della Ferrari e il tempo libero lo trascorro facendo lunghe pedalate con i miei bambini!

COSA NE PENSI?

0 0
avatar
  Subscribe  
Notificami

Lost Password

Please enter your username or email address. You will receive a link to create a new password via email.