เมื่อประมาณปลายปีที่แล้วทาง Bitdefender Cyber Threat Intelligence Lab ได้พบการเปิดใช้งาน rootkit ของสปายแวร์ “Scranos” ซึ่งถูกนำมาใช้เพื่อขโมยข้อมูลและรหัสผ่าน ในตอนนี้คาดว่ามีผู้ติดเชื้อนี้แล้วทั่วโลก
การแพร่กระจายของมัลแวร์ตัวนี้จะมาในแบบซอฟต์แวร์ที่ต้องทำการ crack หรือแอพลิเคชั่นที่เป็นโทรจันที่มีใบ certificate ที่ถูกต้องอย่างเช่น เครื่องเล่นวิดีโอ, ไดร์ฟเวอร์ หรือแม้กระทั่งผลิตภัณฑ์ anti-virus
นักวิจัยคาดว่าแฮกเกอร์ขโมย code-signing certificate ที่ออกให้กับ Yun Yu Health Management Consulting (Shanghai) Co., Ltd.
Bitdefender ได้ทำการตรวจสอบพบว่า เมื่อมีการเปิดมช้ rootkit ของสปายแวร์ตัวนี้ มันจะทำการปรับปรุงส่วนประกอบต่างๆ ของเครื่องผู้ใช้ให้สามารถทำงานได้ในหลากหลายรูปแบบตามวัตถุประสงค์ที่แฮกเกอร์ต้องการได้
ซึ่งความสามารถหลักๆ ของสปายแวร์ มีดังนี้
- สามารถ Extract cookies และขโมยข้อมูลการเข้าระบบจาก Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu Browser และ Yandex Browser
- ขโมยบัญชีการชำระเงินของผู้ใช้จากหน้าเว็บ Facebook, Amazon และ Airbnb
- ส่งคำร้องขอเป็นเพื่อนไปยังบัญชี Facebook อื่นๆ โดยส่งจากบัญชี Facebook ของเหยื่อ
- ส่งข้อความเพื่อทำการโจมตีแบบฟิชชิ่งไปยังเพื่อน Facebook ของเหยื่อทำให้มือถือ Android ของผู้ใช้ติดเชื้อเหมือนกัน
- ขโมยรหัสผ่านของผู้ใช้ Steam
- ฉีด JavaScript adware ลงบน Internet Explorer
- ติดตั้งส่วนเสริม Chrome/Opera เพื่อฉีด JavaScript adware ลงบนเบราว์เซอร์
- สร้างประวัติการสืบค้น
- แสดงโฆษณาหรือปิดเสียงวิดีโอยูทูบของผู้ใช้ที่ใช้งานผ่านเบราว์เซอร์ chrome ซึ่งในส่วนนี้นักวิจัยพบว่า สปายแวร์สามารถทำการติดตั้ง chrome ได้อัตโนมัติ ในกรณีที่ผู้ใช้ไม่ได้ติดตั้ง chrome ไว้
- ติดตามผู้ใช้งานบนยูทูบ channel
- ดาวน์โหลดและรัน payload อื่นๆ ได้โดยอัตโนมัติ
ที่มา : The Hacker News
