这种窃取数据的恶意软件已经卷土重来,带来了新的攻击和令人讨厌的升级功能
在欧美一项针对Windows和Android设备的恶意软件行动背后,该组织改变了其攻击技术,并增加了新的有效载荷,包括一个密码器和一个特洛伊木马,目的显然是为了从受感染的设备上赚更多钱。
今天的安全威胁在范围和严重性上都有所扩大。如果信息安全得不到妥善处理,现在可能会有数百万美元--甚至数十亿美元--面临风险。
多功能Sranos恶意软件的细节首次出现在4月,但不久之后,运营商失去了他们的主要机制的持久性和伪装,因为他们的非法使用授权代码证书被撤销。
但这并没有阻止网络犯罪活动,因为在短短几周的时间里,斯克利诺斯已经更新了攻击方法,试图重建他们的僵尸网络。
Scranos所采用的新技术已经被BitDefender的网络安全研究人员详细介绍,他们还负责在今年早些时候揭穿恶意软件活动。人们相信这场运动起源于中国,但它的作用在全球各地都是如此。
BitDefender威胁研究和报告主任Bogdan Boteztu告诉ZDNet:“迅速动员运营商控制已经感染的机器,这表明他们还没有准备好放弃。”
“他们提出了一种新的方法来隐藏他们的恶意软件背后的微软可执行文件,他们还开始传播新的有效载荷,以保持资金的持续进行”。
新版本的Sranos提供了一种新的感染技术,该技术基于一个名为CClear的假应用程序。它基于合法和广泛使用的系统优化应用程序CCleaner,并被宣传为实现类似的功能。
恶意软件滴管是使用恶意和捆绑在其他软件包中的组合交付的。
下载和安装后,滴管会联系命令和控制服务器,并用新的下载替换一个主机文件,并试图窃取cookie、登录凭据、Facebook信息和支付帐户。如果Chrome和Firefox不在系统上,滴管还会下载和安装,因为它们需要使用插件来操作。
从此处,合法的Microsoft可执行文件放置在与恶意DLL相同的文件夹中,以确保恶意软件是持久的,并在系统重新启动后保持活动状态。与此同时,安装了伪造的Cclear应用程序,甚至还有一个桌面快捷方式,可以阻止用户对他们“被骗”的任何怀疑。它甚至有一个功能用户界面,尽管在实际运行中,它什么也没有。
最后,实际的下载程序是使用新创建的rundll32.exe进程安装的,允许Sranos下载和执行额外的有效负载。
通过在安装过程中使用合法的Windows可执行文件,Scranos在其背后留下了少量的活动,甚至与标准网络流量混合,从而降低了在为攻击者生成收入之前发现的风险。
Sranos的主要目标是根据命令和控制服务器的指示向URL生成流量。这些URL包含各种广告、视频和其他创收链接,这些链接是使用GoogleChrome的隐藏实例运行的。每个URL都在一个新的选项卡中打开,每个驱动收益都是攻击者的收入。这是在幕后完成的,用户不知道。
但这次活动并不仅仅是广告欺诈,Scranos后面的运营商还将几个新的有效负载添加到包括YoDDoS特洛伊木马在内的恶意软件的最新版本中。
Yoddos不是一个新的特洛伊木马,自2012年以来就已经在野外存在,但它提供了一个后门进入受感染的机器,并且能够利用这些系统进行DDoS攻击。
研究人员认为,正在部署YoDDOS来传送其他类型的恶意软件,并且它构成了赚钱方案的另一部分,Scranos的运营商们为其他罪犯租用了他们的网络,以丢弃新的有效载荷。
博特扎图说:“最有可能的是,推动一个有五年历史的特洛伊木马的原因与该团伙的二级商业模式密切相关。当他们在受害者机器上获得重要立足点时,斯克利诺斯团队开始租用基础设施,以便网络罪犯能够向受害者提供额外的有效载荷。”
Scranos还配备了一个密码MinerMiner,它秘密地使用受感染机器的处理能力来为攻击者生成Monero,为他们提供了另一个收入流。
如果这还不够,为什么scranos在其安装过程中窃取不同种类的账户的登录信息,比如Facebook、亚马逊、Airbnb等,这样攻击者也可以通过向其他罪犯出售这些信息来赚钱。
博特扎图说:“它们很可能是在黑暗市场上被重新出售,或者正在为目前在路线图上的商业机会铺平道路。”
目前尚不清楚斯克利诺斯僵尸网络的确切规模,但人们认为它的规模很大,全世界都检测到了感染,其中美国、巴西和印度是检测水平最高的国家之一。
当Scranos变得多产时,也很容易避免。随着安装的主要方法是通过鼓励下载,用户可以通过小心安装的方式来避免恶意软件,并且只需从受信任的网站下载应用程序即可。
博特扎图说:“盗版软件不仅是Sranos的根本原因,它也成为了赎金的重要传递机制。如果有疑问,不要安装第三方网站的应用程序--而是直接到供应商的页面上,获取软件的副本。”
“最重要的是,如果安全解决方案检测到您将要安装的软件中的某些内容并阻止它,请不要尝试暂停保护并重新尝试安装,”他补充道。
一份完整的妥协指标清单已经在即将公布的“Sranos的全面BitDefender分析”中得到了详细的阐述。