in

Scranos : le retour ! Bitdefender

En avril dernier, Bitdefender a révélé l’émergence d’un botnet appelé Scranos. Originaire de Chine, celui-ci s’est propagé en Europe et aux États-Unis, piégeant des appareils Windows et Android dans le cadre de fraudes publicitaires et de manipulations des réseaux sociaux.

Le rapport initial de Bitdefender pointait du doigt les exploitants de Scranos et dénonçait leur utilisation illégale de certificats Authenticode, entre autres. Après que Bitdefender ait contacté Digicert pour lui signaler le certificat utilisé pour signer le pilote du rootkit à des fins malveillantes, les exploitants de Scranos ont perdu le principal mécanisme leur permettant d’assurer leur durabilité et leur camouflage. Lorsque le rapport Scranos a été publié, les attaquants ont vu leur infrastructure de commande et contrôle épinglée pour activité malveillante et démantelée.

Bitdefender a gardé un œil sur l’évolution des évènements dans les semaines qui ont suivi la publication, et a montré, comment les exploitants avaient tenté de reconstruire le botnet et restaurer ses fonctionnalités. Cela a conduit à l’identification de nouvelles composantes utilisées pour générer des revenus publicitaires en arrière-plan via la visite d’URL arbitraires à l’aide de Google Chrome, en faisant passer ces publicités pour des notifications, ce qui génère des revenus publicitaires supplémentaires aux dépens de l’utilisateur.

Le rapport complet présente :

  • un aperçu de la façon dont le groupe de cybercriminels compense la perte du certificat de signature numérique dérobé, en recourant à une autre méthode de persistance basée sur le détournement de DLL d’exécutables Windows officiels ;
  • un compte-rendu détaillé de la façon dont les attaquants procèdent pour reconstruire l’infrastructure de commande et contrôle, et des informations relatives à l’algorithme de génération de domaine dans les nouveaux échantillons ;
  • une nouvelle fonctionnalité pour remplacer le fichier hosts – les attaquants sont capables de rediriger n’importe quel site Internet vers le leur, voire de restreindre complètement l’accès à certains domaines ;
  • une nouvelle charge utile employée pour générer des revenus publicitaires en visitant des URLs arbitraires ;
  • un nouveau script injecté dans les pages visitées, qui permet l’affichage de publicités en redirigeant les recherches Internet ;
  • une charge utile dérobant les données Facebook encore largement utilisée ;
  • une fausse application développée par les attaquants afin de distribuer le malware Scranos à de nouveaux utilisateurs ;
  • un cheval de Troie injecté par Scranos capable de perpétrer des attaques par déni de service distribuées (DDoS) et de désactiver les services de sécurité de Windows ;
  • un cheval de Troie injecté par Scranos transformant l’appareil en mineur de cryptomonnaie.
Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.