Scranos: มัลแวร์ใหม่หลังจากข้อมูลรับรองบัญชีของคุณ

เผยแพร่แล้ว: 2019-04-23

ขณะท่องอินเทอร์เน็ต คุณต้องคลิกปุ่ม "ยอมรับ" ใต้ข้อความว่า "เปิดใช้งานคุกกี้สำหรับไซต์นี้" หรืออะไรทำนองนี้ คุณอาจเข้าถึงไซต์อื่นผ่านลิงก์โฆษณา นี่คือกิจกรรมบางส่วนที่ทิ้งร่องรอยข้อมูลของเราไว้บนเว็บ การตั้งค่าการท่องเว็บ ชื่อ อาจเป็นตำแหน่งของเราด้วย และตอนนี้มัลแวร์ตัวใหม่ได้ปรากฏตัวขึ้นที่กำหนดเป้าหมายการติดตามเหล่านี้และรายละเอียดผู้ใช้นาทีที่เชื่อมโยงกับมัน ซึ่งอยู่ในไซต์เหล่านี้โดยได้รับอนุญาตจากเราในการจี้บัญชีของเรา

Scranos มัลแวร์รูทคิทตัวใหม่ - Tweaklibrary — ที่มาของรูปภาพ: TechCrunch

Scranos มัลแวร์รูทคิทตัวใหม่ถูกค้นพบโดย Bitdefender บริษัทพัฒนาซอฟต์แวร์ความปลอดภัยทางไซเบอร์และมัลแวร์ในโรมาเนีย มัลแวร์ใหม่นี้ถูกค้นพบว่ามีความสามารถที่อนุญาตให้เข้าถึงการควบคุมเสมือนของระบบที่ถูกแย่งชิง และแทรกซึมระบบนั้นด้วยมัลแวร์และกำหนดเป้าหมายข้อมูลที่ขโมยมาของคุณเพื่อนำไปใช้ในทางที่ผิด อ่านว่ามัลแวร์นี้ขึ้นอยู่กับจมูกของผู้วิจัยอย่างไร

อ่านเพิ่มเติม: MacOS จัดการกับมัลแวร์อย่างไร

Scranos คืออะไร?

องค์กรในโรมาเนีย Bitdefender ผ่าน Cyber Threat Intelligence Lab เริ่มการวิจัยในเดือนพฤศจิกายนปีที่แล้ว ซึ่งทุ่มเทให้กับการวิเคราะห์ภัยคุกคามที่อาจเกิดขึ้นจากการทำงานของมัลแวร์ที่ขโมยรหัสผ่านที่ค้นพบใหม่ มัลแวร์ดังกล่าวได้กำหนดเป้าหมายไปยังธุรกิจของจีนในขั้นต้น อย่างไรก็ตาม เพิ่งแพร่กระจายปีกและขณะนี้ได้แพร่ระบาดไปยังระบบภายในบ้านและเครือข่ายองค์กร ขณะนี้ Scranos ได้ติดเชื้อระบบในกว่าสิบประเทศและแพร่หลายอย่างมากในอินเดีย ตามรายงานอย่างเป็นทางการของ Bitdefender เกี่ยวกับมัลแวร์

Scranos ซึ่งเห็นได้ชัดว่าได้รับการปรับปรุงอย่างต่อเนื่องโดยนักพัฒนาที่ไม่ระบุชื่อ มีความสามารถในการโจมตีที่หลากหลาย ซึ่งอาจทำให้ความปลอดภัยของระบบและซอฟต์แวร์ป้องกันมัลแวร์มีช่องโหว่

Scranos ทำงานอย่างไร

Scranos ใช้ซอฟต์แวร์รูทคิทซึ่งติดตั้งอยู่ในระบบของเป้าหมายเพื่อเข้าควบคุมและขโมยรหัสผ่านของบัญชีที่สำคัญของผู้ใช้และแม้แต่รายละเอียดการเข้าสู่ระบบทางการเงิน

ตอนนี้รูทคิทคืออะไร?

ซอฟต์แวร์รูทคิท - ให้การควบคุมดูแลระบบ — ภาพ: เทคโนโลยีดิจิทัล

รูทคิทคือซอฟต์แวร์ที่ให้การควบคุมดูแลระบบของเป้าหมายแก่แฮกเกอร์ ซอฟต์แวร์นี้สามารถฉีดได้โดยแจ้งให้ผู้ใช้ดาวน์โหลดแอปพลิเคชันซึ่งมีรูทคิตอยู่ในนั้น แอปพลิเคชั่นนี้รู้จักกันในชื่อไฟล์ dropper ดาวน์โหลดรูทคิตในพื้นหลัง และผู้ใช้จะเข้าถึงไฟล์ โฟลเดอร์ และกิจกรรมบนเว็บทั้งหมดโดยที่ผู้ใช้ไม่รู้ตัว

กิจกรรมที่เป็นอันตรายโดย payloads โทรจัน — ภาพ: TechWorld

นี่คือวิธีการฉีด Scranos เข้าสู่ระบบ Scranos ใช้แอปพลิเคชันซึ่งลงนามแบบดิจิทัลโดยใช้ใบรับรองปลอมหรือถูกบุกรุก แอปพลิเคชั่นนี้ปล่อยรูทคิทในระบบเป้าหมายในลักษณะที่ผู้ดูแลระบบไม่สามารถตรวจพบได้ เมื่อติดตั้งแล้ว รูทคิตจะสื่อสารกับเซิร์ฟเวอร์ที่ผู้โจมตีใช้เพื่อดำเนินกิจกรรมที่เป็นอันตรายเพิ่มเติมโดยส่งเพย์โหลดของโทรจัน

Scranos ใช้เพื่อขโมยรหัสผ่านและข้อมูลอื่นๆ อย่างไร

โดยกำหนดเป้าหมายไปที่เบราว์เซอร์ทุกประเภทที่ระบบของคุณสนับสนุน รวมถึงเบราว์เซอร์ที่ใช้กันอย่างแพร่หลาย เช่น Chrome, MS-Edge และ Firefox เบราว์เซอร์เหล่านี้ได้บันทึกคุกกี้จากเว็บไซต์ที่เราสำรวจบนเว็บ คุกกี้สามารถให้ข้อมูลต่างๆ เช่น ชื่อ การตั้งค่าไซต์ ประวัติเบราว์เซอร์ และตำแหน่งของผู้ใช้ ข้อมูลดังกล่าวช่วยให้ไซต์ต่างๆ สามารถเข้าชมไซต์และประสบการณ์ของคุณได้อย่างราบรื่น Scranos กลั่นกรองเบราว์เซอร์เพื่อรับข้อมูลนี้ ขโมยรหัสผ่านที่บันทึกไว้ และรับข้อมูลรับรองการเข้าสู่ระบบไปยังพอร์ทัลธนาคารออนไลน์ของคุณ

เราในฐานะผู้ใช้ทำให้ Scranos ง่ายขึ้นได้อย่างไร

ประการหนึ่ง เราแทบจะไม่ได้ล็อกเอาต์จากคอมพิวเตอร์ส่วนบุคคลของเรา และเราแทบจะไม่ต้องโหลดเพื่อลบประวัติเบราว์เซอร์ พวกเราหลายคนบันทึกรหัสผ่านเช่นกันเพื่อเปิดใช้งานการเข้าสู่ระบบโดยตรงและแม้กระทั่งบันทึกรายละเอียดบัตรบนเกตเวย์การชำระเงินเพื่อเปิดใช้งานโหมดการชำระเงินที่ง่ายขึ้น บัญชีโซเชียลมีเดียบนคอมพิวเตอร์ของเราส่วนใหญ่จะเข้าสู่ระบบตลอดเวลา

ด้วยวิธีนี้ ผู้โจมตีจะขโมยรหัสผ่านและการเข้าสู่ระบบบัญชีการเงินของเราได้ง่าย ๆ เช่นเดียวกับการใช้โปรไฟล์โซเชียลมีเดียของเราในทางที่ผิดผ่านการโจรกรรมข้อมูลประจำตัวและการใช้ข้อมูลในทางที่ผิด

Scranos มีความสามารถอะไร?

เมื่อเข้ามาแล้ว Scranos สามารถทำกิจกรรมที่เป็นอันตรายได้ทุกประเภท ซึ่งส่วนใหญ่จะส่งผลกระทบต่อทั้งข้อมูลระบุตัวตนและข้อมูลที่เกี่ยวข้องของผู้ใช้ตามบ้านหรือองค์กรใดๆ พร้อมกับเสี่ยงต่อบัญชีการเงินของพวกเขา

จากข้อมูลที่ขโมยมาจากประวัติเบราว์เซอร์และโปรไฟล์โซเชียลมีเดียที่ถูกขโมย Scranos สามารถช่วยให้ผู้โจมตีทำการฉ้อโกงและก่ออาชญากรรมออนไลน์ในนามของคุณได้
Scranos สามารถใช้บัญชีการเงินของผู้ใช้ในทางที่ผิดโดยขโมยข้อมูลรับรองการเข้าสู่ระบบและเปิดใช้งานธุรกรรมที่เป็นการฉ้อโกง

Scranos มีความสามารถ — ที่มาของภาพ: TechTheLead

เมื่อ Scranos เสนอการควบคุมของผู้ดูแลระบบให้กับผู้โจมตี ก็สามารถช่วยให้พวกเขาฉีดระบบเป้าหมายด้วยเพย์โหลดและมัลแวร์ที่เป็นอันตรายมากขึ้น

Scranos ให้ผู้ดูแลระบบควบคุมผู้โจมตี — ที่มาของรูปภาพ: Malwarebytes

Scranos ยังสามารถแทรกส่วนขยายแอดแวร์ ซึ่งจะเพิ่มช่องโหว่ของระบบต่อการโจมตีทางไซเบอร์
มันสามารถกำหนดเป้าหมายเพื่อนของเหยื่อจาก Facebook และโปรไฟล์โซเชียลมีเดียอื่น ๆ โดยการส่งข้อความฟิชชิ่งและแอปพลิเคชั่นรูทคิทเพื่อเพิ่มการเข้าถึง

Scranos สามารถจี้บัญชี YouTube ได้ — ภาพ: HackerCombat

นอกจากนี้ มันสามารถจี้บัญชี YouTube ของคุณเพื่อส่งเสริมแคมเปญแอดแวร์ที่เป็นอันตรายสำหรับกำไรในเชิงพาณิชย์เพิ่มเติม

ความคิดเห็นของผู้ค้นพบ

ในรายงานที่ตีพิมพ์ นักวิจัยที่ Bitdefender อ้างว่า Scranos มีความสามารถในการกระทำที่เป็นอันตรายมากกว่าเมื่อเปรียบเทียบกับแคมเปญแอดแวร์ เนื่องจากอยู่ในขั้นตอนการพัฒนาขั้นต้น จึงไม่สามารถสร้างผลกระทบระดับโลกได้ แต่ได้เพิ่มการเข้าถึงอย่างรวดเร็วอย่างแน่นอน ขอแนะนำว่าเป้าหมายส่วนใหญ่จะเป็นองค์กร เนื่องจากดูเหมือนว่าผู้โจมตีต้องการใช้ Scranos เป็นแรนซัมแวร์เพื่อรับเงินเพื่อแลกกับการควบคุมดูแลระบบอีกครั้ง ในขณะที่การวิจัยยังดำเนินต่อไป มีการสันนิษฐานว่า Scranos อาจปลอมแปลงมัลแวร์บุคคลที่สามที่ทรงพลังกว่า

ต้องอ่าน: 2019 อาจมีมัลแวร์ในทุกอุปกรณ์ McAfee กล่าว

สิ่งที่สามารถทำได้เพื่อลบ Scranos

ตามรายงาน สิ่งแรกที่ต้องทำคือฆ่ากระบวนการ rundl32.exe ในตัวจัดการงาน นอกจากนี้ ขอแนะนำให้ทำความสะอาดประวัติเบราว์เซอร์และคุกกี้อย่างละเอียด รายงานยังแนะนำว่าการเปลี่ยนรหัสผ่านบัญชีและการลบส่วนขยายเบราว์เซอร์ที่น่าสงสัยยังเป็นวิธีการลบโค้ดที่ฉีดออกจากระบบอีกด้วย

Scranos เป็นสิ่งใหม่ในแนวโน้มของมัลแวร์และลักษณะที่อิงจากรูทคิตนั้นเป็นสิ่งที่ไม่ธรรมดามาก การโจมตีของมัลแวร์ส่วนใหญ่มาจากมัลแวร์และฟิชชิ่ง อย่างไรก็ตาม ดูเหมือนว่าจะเปลี่ยนเกณฑ์มาตรฐาน เนื่องจากระบบหลายหมื่นระบบติดไวรัสแล้ว จึงถึงเวลาที่จะแนะนำวิธีแก้ปัญหาที่เป็นไปได้เพื่อต่อต้าน Scranos อย่างถาวร