Casa > Ciber Noticias > El nuevo Scranos Rookit puede dañar su sistema de múltiples formas
CYBER NOTICIAS

Nueva Scranos rootkit pueden dañar el sistema de múltiples maneras

Scranos es el nombre de un nuevo software espía rootkit habilitados que a pesar de su sofisticación actual parece ser “trabajo en progreso". Bitdefender investigadores descubrieron recientemente que los operadores de Scranos están probando continuamente nuevos componentes en usuarios ya infectados y haciendo regularmente mejora menor a los componentes viejos.

Resumen de amenazas

Nombre Scranos
Escribe El spyware, Rootkit, Adware
Descripción breve Scranos es un software espía sofisticado equipado con un controlador de rootkit que puede realizar una serie de actividades maliciosas. Véase el artículo para más detalles.
Los síntomas En función de las instrucciones recibidas, el programa malicioso puede robar las credenciales de inicio de sesión para varios servicios, historias extracto de navegación, inyectar JavaScript, etc. También puede caer otras cargas maliciosas.
Método de distribución troyanizado Aplicaciones, Cracked Software
Herramienta de detección Ver si su sistema ha sido afectado por malware

Descargar

Herramienta de eliminación de software malintencionado

Scranos Spyware en detalle

De acuerdo con el último informe, el software espía contiene diversos componentes que pueden servir para distintos fines y pueden ser desplegadas en varios escenarios.

Algunos de los componentes más importantes que vienen con Scranos tienen las siguientes capacidades:

– Extraer las galletas y robar credenciales de acceso de los navegadores más populares, incluyendo Google Chrome, Cromo, Mozilla – Firefox, Ópera, Microsoft Edge, Internet Explorer, Navegador Navegador Baidu y Yandex.
– Robar cuentas de pago de los usuarios de Facebook, páginas web de Amazon y Airbnb.
– Enviar solicitudes de amistad a otras cuentas, de la cuenta del usuario de Facebook.
– Enviar mensajes de phishing a amigos de Facebook del usuario infectado que contienen APK maliciosos utilizados para infectar a los usuarios de Android, así.
– Robar las credenciales de inicio de sesión para la cuenta del usuario en Steam.
– Inyectar JavaScript publicitarios en Internet Explorer.
– Instalar extensiones de Chrome / Opera que sirven para inyectar adware JavaScript en estos navegadores.
– Exfiltrate el historial de navegación.
– En silencio mostrar anuncios o vídeos de YouTube apagados a los usuarios a través de Chrome. Los investigadores descubrieron algunos goteros que pueden instalar Chrome, si no está ya en el ordenador de la víctima.
– Suscribir usuarios a los canales de vídeo de YouTube.
– Descargar y ejecutar cualquier carga útil.

¿Cómo se Scranos Spyware Spread?

No es sorprendente, el malware se propaga a través de aplicaciones de troyanos en el software de forma agrietada, o software que presenta tan útil como lectores de libros electrónicos, reproductores de vídeo, los conductores o incluso productos anti-malware, los investigadores dijeron.

Tras la ejecución, Scranos también instala un controlador de rootkit para ocultar el malware y que sea persistente en el sistema de. El siguiente paso de la cadena de infección está “llamando a casa” y recibir comandos de qué otros componentes para descargar e instalar. El informe dice que Scranos está infectando a los usuarios a escala global, con la India, Rumania, Francia, Italia e Indonesia tienen infecciones frecuentes.

Relacionado: [wplinkpreview url =”https://sensorstechforum.com/anubisspy-android-capabilities/”] AnubisSpy Spyware Android con capacidades cada vez más alarmante.

Es de destacar que todas las muestras identificadas Scranos confirman que esta operación se encuentra en una etapa de consolidación:

las muestras más antiguas fecha identificados volver a noviembre 2018, con un aumento masivo en diciembre y enero. Sin embargo, en marzo 2019, los servidores de comando y control comenzó a empujar a otros ejemplares de malware - un claro indicador de que la red está afiliada con terceras partes en los programas de pago-por instalación.

El malware también es capaz de interactuar con sitios web específicos en nombre de la víctima. Más específicamente, el malware está promoviendo agresivamente cuatro vídeos de YouTube en diferentes canales.
En cuanto al conductor rootkit, se utiliza un mecanismo de persistencia efectiva de volver a escribir en sí al apagar el equipo, pero no se esconde en sí. El rootkit inyecta un descargador en un proceso legítimo, que luego se descarga uno o más cargas útiles.

Tenga en cuenta que el rootkit no está protegido contra el borrado si se detecta. Además el propio controlador, no hay otros componentes se pueden encontrar en el disco, ya que se eliminan después de correr. Sin embargo, que se pueden descargar de nuevo si es necesario, señala el informe.

Larga historia corta, los usuarios deben tener mucho cuidado con su comportamiento en línea. Este malware es otro recordatorio de cómo los ataques sofisticados se están convirtiendo. Por ejemplo una de las cargas útiles de la campaña Scranos es manipular otras páginas en lugar de YouTube, mediante la interacción con los anuncios que se muestra dentro de estas páginas:

Cómo quitar Scranos Spyware

No hace falta decir, rootkits y spyware son bastante astuto y, por tanto,, un reto para eliminar. Sin embargo hay pasos, que puede eliminar de su sistema de malware y su componente rootkit:

1. Cierre el navegador(s).
2. Mata a todos los procesos en ejecución de ruta temporal. Eliminar los archivos detectados como maliciosos.
3. Matar el proceso rundll32.exe.
4. Generar el nombre de archivo de la siguiente manera rootkit:
– Obtener el SID del usuario actual.
– Calcular MD5 de la cadena resultado de una).
– Obtener el primer 12 personajes de b).
5. Ejecutar un cmd o la ventana PowerShell con derechos de administrador y el tipo: > Sc sc stop borrar .sys y borrar el archivo.
7. Eliminar el controlador de DNS (abajo, MOIYZBWQSO debe ser reemplazado con el nombre del controlador particular,):
– Comprobar si se ha instalado el controlador de DNS: en% TEMP% debe ser un archivo con 10 las letras mayúsculas al azar (ex: MOIYZBWQSO. sys). En el Registro también debe haber una clave correspondiente al nombre (ex: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services MOIYZBWQSO)
– Ejecutar un cmd o la ventana PowerShell con derechos de administrador y el tipo:
– sc detener MOIYZBWQSO
– sc delete MOIYZBWQSO –
– Elimine el archivo% TEMP% MOIYZBWQSO.sys 8) oot Reb su PC para eliminar el código inyectado desde el proceso svchost.exe. 9. Eliminar cualquier extensión de sus navegadores sospechoso.
10. Cambiar todas las contraseñas.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo