Ultime notizie

Dopo la scoperta e la denuncia di Scranos da parte dei ricercatori di Bitdefender, i criminali hanno ripreso le loro attività utilizzando altri metodi

June 2019


Una panoramica su come il gruppo di criminali informatici abbia cercato di compensare la perdita del certificato digitale

In Aprile, Bitdefender ha diffuso la notizia di un nuovo botnet emergente chiamato Scranos. Originario della Cina, si è diffuso in Europa e negli Stati Uniti, colpendo gli utenti di dispositivi Windows e Android, caduti nella trappola delle truffe pubblicitarie e della manipolazione dei loro account sui social network.

Il report Bitdfender ha messo sotto i riflettori le attività dei malintenzionati dietro Scranos e ha evidenziato il loro uso illegale dei certificati digitali, tra cui Authenticode tra gli altri. Dopo che Bitdefender ha segnalato a Digicert l’utilizzo del certificato digitale per firmare il driver del rootkit a scopo fraudolento, i criminali che agiscono alle spalle di Scranos hanno perso la possibilità di utilizzare il loro meccanismo principale per continuare ad operare nell’ombra. Quando è stato pubblicato il Report Scranos, i criminali si sono così resi conto di essere stati scoperti e che il loro modus operandi era stato smascherato, segnalato alle autorità e fermato.

I ricercatori di Bitdefender hanno però continuato a tenere d’occhio gli sviluppi della situazione nelle settimane successive alla pubblicazione del report e hanno documentato come i criminali abbiano cercato di ricostruire la rete bot e di ripristinarne le funzionalità. Il risultato di queste ulteriori analisi ha portato all'identificazione di nuove modalità utilizzate per generare entrate pubblicitarie in background visitando URL casuali con Google Chrome mascherando questi annunci pubblicitari come se fossero notifiche, che in realtà però generano entrate pubblicitarie aggiuntive a spese dell'utente. 

Il nuovo Report di Bitdefender contiene:

•    Una panoramica su come il gruppo di criminali informatici abbia cercato di compensare la perdita del certificato digitale rubato utilizzando un altro metodo di persistenza basato sul dirottamento DLL degli eseguibili legittimi Microsoft.

•    Un resoconto dettagliato di come gli aggressori stiano ricostruendo l'infrastruttura di comando e controllo e le informazioni sull'algoritmo di generazione dei domini nei nuovi esemplari.  

•    Nuove funzionalità per sostituire i file host – i criminali sono in grado di reindirizzare qualsiasi sito web al proprio o limitare l'accesso ad alcuni domini.

•    Un nuovo payload utilizzato per generare entrate pubblicitarie visitando URL casuali.

 

•    I payload che rubano i dati di Facebook sono ancora ampiamente utilizzati.

•    Una falsa applicazione è stata sviluppata dai criminali per diffondere il malware Scranos a nuovi utenti.

•    La presenza di un Trojan spinto da Scranos in grado di sferrare attacchi DDoS (Distributed Denial of Service) e di disabilitare i servizi di sicurezza di Windows.

•    Un Trojan spinto da Scranos che trasforma il dispositivo in un miner di criptovaluta.


L’articolo sul blog Bitdefender è disponibile qui,  mentre il documento completo può essere scaricato qui.