Scranos：发现了新的快速发展的基于Rootkit的间谍软件

而rootkit恶意软件，配音斯克拉诺斯—它是去年年底首次被发现的，似乎仍在进行中，它正在不断发展，测试新组件，并定期对旧组件进行改进，这使它成为一个重大威胁。

Scranos采用模块化设计，已经具备从各种流行服务窃取登录凭据和支付帐户、过滤浏览历史和cookie、获取YouTube订户、显示广告以及下载和执行任何有效负载的能力。
根据Bitdefender在发布前与《黑客新闻》分享的一份48页的深度报告，该恶意软件通过安装数字签名的rootkit驱动程序，在受感染的机器上获得持久性。

研究人员认为，攻击者通过欺诈手段获得了有效的数字代码签名证书，该证书最初是发给云宇健康管理咨询（上海）有限公司的，在撰写本文时尚未被撤销。

研究人员说：“rootkit注册一个关机回调以实现持久性。关机时，驱动程序被写入磁盘，并在注册表中创建一个启动服务键”。

一旦感染，rootkit恶意软件会将下载程序注入合法进程，该进程随后会与攻击者控制的命令与控制（C&C）服务器通信，并下载一个或多个有效负载。

这里我们列出了一些窃取数据和密码的有效载荷：

密码和浏览历史记录— 主滴管从Google Chrome、Chrome、Mozilla Firefox、Opera、Microsoft Edge、Internet Explorer、百度浏览器和Yandex窃取浏览器cookie和登录凭据。它还可以从受害者在Facebook、YouTube、亚马逊和Airbnb上的账户窃取cookie和登录信息。

扩展安装程序负载— 此负载在Chrome中安装广告软件扩展，并在用户访问的所有网页上注入恶意或恶意软件广告。一些样本还发现安装了假的浏览器扩展，比如Chrome Filter、Ferror tips和PDF Maker。

蒸汽数据窃取器有效载荷— 该组件窃取受害者的Steam帐户凭据和信息，包括已安装应用程序和游戏的列表，以及硬编码版本，并将其发送到攻击者的服务器。

恶意软件代表受害者与Facebook和YouTube互动

其他一些有效载荷甚至可以代表受害者与各种网站进行交互，例如：

YouTube用户负载— 该负载通过在调试模式下运行Chrome来操纵YouTube页面，指示浏览器在网页上执行各种操作，如启动视频、静音视频、订阅频道和点击广告。
Facebook垃圾邮件发送者有效载荷— 利用收集的cookie和其他令牌，攻击者可以命令恶意软件向其他用户发送Facebook好友请求。它还可以向受害者的Facebook好友发送私人消息，并链接到恶意的Android APK。

安卓广告软件应用— 该恶意软件应用伪装成谷歌Play Store上合法的“二维码精确扫描”应用，积极地显示广告，跟踪感染的受害者，并使用相同的C；C服务器作为Windows恶意软件。

Scranos从热门网站窃取支付信息

以下是主滴管中包含的DLL列表：

Facebook动态链接库— 此DLL提取用户Facebook帐户的信息，包括他们的付款帐户、朋友列表，以及他们是否是页面管理员。

亚马逊动态链接库— 此DLL从用户的亚马逊帐户中提取信息。研究人员甚至发现了这个DLL的一个版本，它被设计用来从登录的Airbnb帐户中提取信息。

根据Bitdefender研究人员收集的遥测数据，Scranos的目标是全世界的用户，但“它似乎在印度、罗马尼亚、巴西、法国、意大利和印度尼西亚更为普遍”。

这种恶意软件最早的样本可追溯到2018年11月，在12月和1月出现了大规模激增，但在2019年3月，Scranos开始推广其他类型的恶意软件，研究人员称，这是“一个明确的迹象，表明该网络现在在按安装付费方案中与第三方有关联”。