Scranos, un rootkit firmato digitalmente riesce a nascondersi su Windows e Android

Diverse aziende specializzate nello sviluppo di soluzioni per la sicurezza informatica hanno annunciato quest’oggi la scoperta di Scranos, un nuovo rootkit che la prerogativa di disporre di una firma digitale e che pone in essere diverse attività finalizzate al furto di dati personali, credenziali d’accesso e denaro.

Scranos, una volta insediatosi sul dispositivo di un utente, è in grado di estrarre i cookie e rubare le credenziali di accesso da Google Chrome, Chromium, Mozilla Firefox,
rubare le credenziali di accesso per l’account dell’utente su Steam, iscrivere utenti a canali video Youtube, sottrarre informazioni di pagamento e molto altro ancora. Anche perché, una volta in esecuzione, il malware “chiama casa” e si pone in ascolto degli ordini impartiti in modalità remota dai criminali informatici.

Il rootkit viene solitamente presentato come un programma piratato oppure come applicazione legittima, un antimalware, un lettore di e-book, un riproduttore di file multimediali.
Scranos svolge tutte le sue operazioni restando in esecuzione in memoria ma, prima che il sistema venga spento, scrive il suo codice su disco in modo da assicurarsi un nuovo caricamento al successivo avvio.

Utilizza un “basso profilo” per eludere la scansione effettuata dalle principali soluzioni per la sicurezza informatica: ogni payload viene infatti immediatamente rimosso non appena utilizzato. Il codice via a via necessario viene recuperato in tempi successivi iniettando un downloader nel processo di sistema svchost.exe.

Lo schema di funzionamento di Scranos. Fonte: BitDefender.

Scranos si contraddistingue per la sua capacità di sopravvivere su piattaforme diverse: oltre che su Windows anche sui dispositivi mobili Android.
Attivo con una presenza a livello globale (è più diffuso in Italia, Romania, Brasile, Francia, India e Indonesia) Scranos non è ancora pienamente maturo ma è di difficile rilevamento e, soprattutto, è in continua evoluzione.

Secondo gli esperti di BitDefender, gli sviluppatori di questo rootkit testano continuamente nuovi componenti sui dispositivi già infetti e apportano regolarmente migliorie.
“I creatori di Scranos hanno sviluppato un sofisticato malware firmato con un certificato digitale legittimo che molto probabilmente è stato ottenuto con mezzi illeciti“, ha commentato Bogdan Botezatu, Director of Threat Research and Reporting di BitDefender.

Sui dispositivi infetti i sintomi del malware Scranos non sono immediatamente visibili, ma appaiono nei registri delle attività degli utenti come azioni inusuali sui social media o comportamenti che gli utenti non mai personalmente tenuto. Si trovano anche tracce nella cronologia dei pagamenti o nelle fatture per prodotti o servizi che gli utenti non hanno acquistato.

Maggiori informazioni su Scranos sono disponibili nell’analisi appena pubblicata da BitDefender.