Un nouveau malware assez élaboré et effrayant vient d’apparaître sur le radar des chercheurs en sécurité de Bitdefender Labs. Baptisé « Scranos », il se diffuse par l’intermédiaire de logiciels Windows divers et variés : lecteurs vidéo, lecteurs e-book, logiciel de « sécurité », drivers, etc. Au départ, ce malware n’était diffusé qu’en Chine. Mais depuis quelques mois, il se répand dans le monde entier, y compris en France.
Une fois installé, ce cheval de Troie va d’abord déployer une série de fichiers DLL qui vont partir à la collecte de cookies de navigateurs et voler les identifiants de comptes Facebook, Amazon, Youtube et Airbnb. Puis il procède à la désactivation du logiciel de sécurité Windows Defender Real-Time Protection. On n’est jamais assez prudent.
Avant de s’autodétruire, il va finalement installer un rootkit sous la forme d’un driver vidéo. Celui-ci est authentifié par une signature établie au nom de la société Yun Yu Health Management Consulting Shanghai. Il s’agit là probablement d’un certificat volé. Avant chaque extinction de l’appareil infecté, ce driver sauvegarde ses données dans un fichier et programme sa propre réactivation au niveau du registre Windows. Comme ça, au prochain démarrage, il pourra automatiquement reprendre son service. Pratique.
Véritable pièce maîtresse de Scranos, ce rootkit est capable d’injecter un « downloader » dans un processus légitime de Windows avec l’objectif, comme son nom l’indique, de télécharger d’autres modules malveillants. Ce qui ouvre la porte à tout un tas de piratages et d’arnaques. L’un des modules permet, par exemple, de diffuser des applications Android vérolées auprès des amis Facebook de la victime. Un autre est spécialisé dans le vol d’identifiants Steam. Un autre, encore, va installer des extensions de navigateurs qui vont forcer l’ouverture de certaines pages ou modifier le moteur de recherche par défaut. L’injection de publiciels Javascript ou l’abonnement automatique à des compte Youtube font également partie du catalogue.
Bref, Scranos est une plateforme cybercriminelle plutôt bien ficelée qui permet de lancer plein d’activités différentes. Les développeurs de ce malware semblent être particulièrement actifs, et testent en permanence de nouveaux modules sur les milliers de PC qu’ils ont réussi à infecter à ce jour. Le potentiel malveillant de ce nouveau malware est donc important… et à surveiller de près.
Source : Bitdefender Labs
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
