info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

جاسوس‌افزار پیشرفته و در حال توسعه Scranos

خلاصه: بدافزار اسکرانوس یک روت‌کیت ماژولار است دارای قابلیت‌های مختلفی بوده و می‌تواند اطلاعات کاربران را سرقت نماید. این بدافزار جاسوسی با مجموعه پیلود‌های خود می‌تواند اطلاعات کاربری افراد و اطلاعات بانکی آن‌ها را سرقت نموده و یا حتی از طرف آن‌ها در شبکه‌های اجتماعی پیام ارسال نماید.

 

 

یک روت‌کیت جدید جاسوسی کشف شده که به هکرها امکان توزیع بدافزار‌های با قابلیت‌های متفاوت را به صورت‌های برنامه‌های کرک شده و یا برنامه‌های آلوده‌ای که به صورت برنامه‌های رسمی نشان داده می‌شوند و یا حتی محصولات درایور‌ها و آنتی‌ویروس‌ها توزیع نمایند.

این روت‌کیت که Scranos نام‌گذاری شده است در زمستان برای اولین بار مشاهده شده است و همچنان به نظر می‌رسد که در حال توسعه بوده و امکانات بیشتری به آن افزوده شده و امکانات قبلی آن بهینه می‌شوند و آن را به یک تهدید خطرناک تبدیل می‌نمایند.

اسکرانوس بر اساس طراحی ماژولار ساخته شده است. این بدافزار فعلا امکان سرقت اطلاعات کاربری و اطلاعات بانکی از بسیاری از سرویس‌های محبوب و شناخته شده را دارد. همچنین استخراج کوکی‌های استفاده شده و تایخچه جستجوی کاربر، کانال‌های دنبال شده در یوتوب، تبلیغات مشاهده شده و امکان دانلود و اجرای هر پیلودی از توانایی‌های دیگر این بدافزار است. کارشناسان شرکت بیت‌دیفندر در گزارشی که در مورد این بدافزار منتشر نموده‌اند بیان کرده‌اند که این بدافزار با نصب یک درایور امضا شده روی کامپیوتر قربانی، حضور خود در سیستم قربانی را همیشگی می‌کند.

کارشناسان معتقدند که هکرهای پشت این بدافزار به یک گواهینامه امضای دیجیتال دسترسی پیدا نموده‌اند که متعلق به شرکت چینی مشاوره مدیریت سلامت Yun Yu در شانگهای بوده و هنوز به عنوان یک گواهی لغو شده اعلام نشده است.

 زمانی که سیستم به این بدافزار آلوده می‌شود، بدافزار یک دانلود کننده را به عنوان یک پردازش قانونی اجرا نموده و سپس با سرور کنترل و فرمان (C&C) ارتباط برقرار نموده و یکی یا چند پیلود را دانلود می‌نماید.

برخی از پیلودهای اسکرانوس عبارتند از:

  • پیلود سرقت کلمات عبور و تاریخچه جستجو: این پیلود کوکی‌های مرورگر و اطلاعات ورود به حساب‌های کاربری را از مرورگرهای گوگل کروم، کرومیوم، فایرفاکس، اپرا، مایکروسافت ادج، اینترنت اکسپلورر و مرورگرهای بایدو و یاندکس سرقت می‌نماید. همچنین می‌تواند حساب‌های کاربری فیس‌بوک، یوتوب، آمازون و Airbnb قربانیان را سرقت نماید.
  • پیلود نصب نمودن افزونه: این پیلود افزونه‌های تبلیغ‌افزار روی کروم نصب نموده و تبلیغات آلوده به بدافزار را در صفحات وب به کاربر نشان می‌دهد. در برخی از نمونه‌های مشاهده شده، افزونه‌های جعلی با نام افزونه‌های شناخته شده‌ای مانند Chrome Filter و PDF Maker نصب می‌شوند.

برخی از پیلود‌ها از طرف کاربر روی سایت‌های مختلف پیام منتشر می‌نمایند!

  •  پیلود دنبال کننده یوتوب: این پیلود صفحات یوتوب را به کمک اجرای کروم در حالت عیب‌یابی، دستکاری نموده و مرورگر را مجبور به اجرای کارهایی همچون پخش نمودن ویدیو، قطع کردن صدای ویدیو، دنبال نمودن یک صفحه و یا باز نمودن تبلیغات می‌نماید.
  • پیلود انتشار هرزنامه فیس‌بوک: این پیلود با استفاده از کوکی‌ها و توکن‌های جمع‌آوری شده، امکان ارسال درخواست دوستی به افراد مختلف را از طریق فیس‌بوک دارد. همچنین می‌تواند پیام‌های خصوصی حاوی لینک‌های آلوده به مخاطبین فیس‌بوک ارسال نماید.

همچنین در این بدافزار DLL‌هایی برای سرقت اطلاعات پرداخت وجود دارد که از آن‌ها می‌توان به DLLهای سرقت اطلاعات پرداختی از حساب‌های فیس‌بوک و آمازون اشاره نمود.

بر اساس بررسی‌های کارشناسان بیت‌دیفندر، اسکرانوس قربانیان خود را از سراسر دنیا انتخاب می‌نماید؛ اما توزیع این بدافزار در کشور‌های هند، رومانی، برزیل، فرانسه، ایتالیا و اندونزی بیشتر بوده است.

اولین نسخه این بدافزار در ماه نوامبر ۲۰۱۸ مشاهده شده و در ماه‌های دسامبر و ژانویه توزیع زیادی داشته است. اما این بدافزار در هفته‌های اخیر شروع به توزیع سایر بدافزار‌های مخرب نموده است. کارشناسان معتقدند که این بدافزار احتمالا برای توزیع این بدافزار‌ها توسط صاحبان آن‌ها هزینه دریافت می‌نماید.