近期,研究人員發現有網絡犯罪分子正在大規模的惡意活動中使用數字簽名的Rootkit來竊取目標用戶的登錄憑證、支付信息以及瀏覽器歷史記錄,並以此來對社交網絡用戶進行網絡詐騙以及惡意廣告傳播活動。
研究人員將此係列惡意活動命名為了“Scranos”,在此攻擊活動中, Rootkit會要求目標用戶安裝一個視頻驅動程序。安裝完成後,它便會下載攻擊者所設定的Payload。受此攻擊影響的除了像Chrome、Chromium、Firefox、Opera、Edge和IE這些常用瀏覽器之外,還有Facebook、Amazon、Airbnb、Steam和Youtube這樣的網絡在線服務。
攻擊形式新穎
研究人員表示,Rootkit簽名所使用的證書很有可能是竊取來的。簽名所用的數字證書來自於上海的一家健康管理諮詢公司,而這家公司並未涉足軟件開發領域。目前,該證書仍然是有效的。
研究人員目前已將Scranos活動的【詳細分析報告】發佈了出來,並在報告中詳細介紹了此次攻擊活動中所涉及到的攻擊組件。
技術細節
攻擊者在感染目標Windows系統時使用的是內存Rootkit,在實現感染時主要利用的是偽裝成合法應用程序的電子書瀏覽器、視頻播放器或反惡意軟件產品。為了實現在目標主機上的持久化感染,Scranos會在目標設備關閉之前向硬盤覆蓋寫入數據,並在完成後刪除所有的Payload。而且在某些特殊情況下,Payload甚至會向合法進程“svchost.exe”中注入惡意下載器。
根據研究人員的分析,目前該惡意軟件樣本的功能只包括:下載和運行Payload Dropper、實現持久化感染,以及刪除正在使用的文件(用於移除內存中的Payload)。
但研究人員表示,Rootkit下載器是一款多功能的惡意軟件,它還可以從剛才我們提到的瀏覽器中提取目標用戶的登錄憑證,並使用惡意DLL文件來實施其他攻擊。
感染範圍
除了Youtube用戶之外,很大一部分目標用戶都來自於中國,其中包括廣東、上海、江蘇和浙江的數萬名用戶在內。
但研究人員也表示,Scranos活動目前仍在不斷進化,而它的感染範圍也已經擴張到了印度、羅馬尼亞、巴西、法國、意大利和印度尼西亞等國家和地圖。除此之外,根據研究人員對惡意軟件樣本的分析,攻擊者還有可能會在惡意軟件中增加多種新型的感染組件。
Payload分析
針對Youtube頻道的Payload使用了Chrome的調試模式,並將自身從任務欄中隱藏,不過我們還是可以通過任務管理器來查看到相應惡意軟件的活動。如果目標主機中沒有安裝Chrome,惡意軟件會直接安裝在目標系統中。
研究人員表示:“我們在對一個Youtube頁面及西寧分析後,我們發現惡意軟件會先在Chrome中打開一個URL,然後利用惡意Payload來控制Chrome在這個頁面中進行各種操作:打開一個視頻,然後靜音,並訂閱該頻道,最後點擊惡意廣告,而這些操作全部都是通過Chrome的調式命令完成的。”
在一天之內,YouTube Payload可以在後臺悄悄訂閱大量的特定頻道,每天大約可以給目標頻道帶來3100多個新訂閱者。
用於安裝瀏覽器插件的Payload可以攻擊Chrome、Opera和IE等支持Web頁面JavaScript功能的瀏覽器。
在Chrome中,它可以Chrome Filter、Fierce-tips和PDF-Maker等插件,而最後一個目前仍然可以在ChromeWeb商城中找到,而且裝機量也達到了12萬8千多。
Facebook網絡詐騙Payload負責發送好友請求以及釣魚信息(惡意鏈接指向一個Android APK文件)。它可以從Firefox、Chrome以及其他基於Chromium的瀏覽器中竊取Cookie信息。
針對Edge瀏覽器,它會安裝EdgeCookiesView這款工具,這款工具是Nirsoft開發的一款合法工具,而他所開發的工具是很多惡意軟件開發人員以前都使用過的。
針對Steam賬號,它首先會使用初始下載器下載安裝Rootkit以及其他組件。然後重新設置一個註冊表鍵來存儲Steam賬號憑證。除了憑證數據之外,竊取的數據還包括系統中安裝的遊戲列表以及上一次遊戲時間等等。
研究人員表示,目前Scranos活動仍在持續進行中,而且攻擊手段一直在不斷進化升級,而且影響範圍也在逐步擴大,其中絕大多數受影響的用戶都是Windows 10用戶。
完整分析報告:【https://labs.bitdefender.com/2019/04/inside-scranos-a-cross-platform-rootkit-enabled-spyware-operation/】
* 參考來源:bleepingcomputer,FB小編Alpha_h4ck編譯,轉載自FreeBuf.COM
閱讀更多 Whitezero 的文章
