SCRANOS la nouvelle terreur du Web

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 2140
Inscription : 02 juin 2012 20:48

SCRANOS la nouvelle terreur du Web

Message par Parisien_entraide » 19 avr. 2019 23:48

Sources :
https://www.bleepingcomputer.com/news/s ... ment-info/
https://www.generation-nt.com/bitdefend ... 64187.html
Si vous lisez le chinois : https://bbs.guanjia.qq.com/thread-483856-1-1.html


A ne pas condondre avec le snap de THANOS (quoique) :-)

Snap Thanoisserveimage.jpg
Snap Thanoisserveimage.jpg (5.61 Kio) Consulté 236 fois

PRESENTATION :

Surnommé Scranos par des chercheurs, le rootkit se présente comme un pilote vidéo


Il s'agit d'un rootkit signé numériquement, utilisé dans le cadre d'activités malveillantes de grande envergure visant à dérober les informations d'identification de connexion, les informations de paiement, l'historique de navigation, des programmes utilisés dans les réseaux sociaux, spam et activité des logiciels publicitaires.

Il a commencé à contaminer la Chine avant de se propager dans le monde entier jusqu'à arriver en France il y a quelques semaines" et il progresse à grands pas
scranos_02A8000001659890.jpg
Les cibles vont des navigateurs populaires Chrome, Chrome, Firefox, Opera, Edge, Internet Explorer, Baidu et Yandex aux services de Facebook, Amazon, Airbnb, Steam et Youtube.




L'HISTOIRE :


Le certificat utilisé pour signer le rootkit, probablement volé, vient de DigiCert pour Yun Yu Consulting qui est un organisme, de "Conseil de gestion de la santé" (Shanghai) Co., Ltd., une société qui ne participe pas au développement de logiciels. Pour le moment, le certificat est toujours valide
1f563febce7e13fcd7a71b8b6f86f7da.png

Les premiers échantillons vus par les chercheurs Chinois concernant ce rootkit datent de novembre 2018


"En analysant les échantillons homologues via un système de traçage avancé les chercheurs chinois, ont également trouvé un exemple de cheval de Troie qui avait été recherché pour détournement de fonds en installant un plug-in dans chrome. Cet exemple présente une grande similitude avec le nom de domaine du serveur utilisé par "VideoDriver ; http://count.b12.fun/jump.php "



COMMENT SE PROPAGE T-IL ?

Via les cracks évidemment ou de faux logiciels piratés, mais pas que... car il y a des applications légitimes comme des lecteurs de livres électroniques, des lecteurs vidéo et même des solutions anti-malware.




FONCTIONNEMENT

Pour assurer la persistance sur l'hôte victime, Scranos se réécrit sur le disque avant que l'ordinateur ne s'éteigne. Il garde un profil bas pour ne pas se faire repérer, et supprime toutes les charges utiles immédiatement après avoir atteint son objectif
Si ce n'est pas le cas, elles peuvent être récupérés ultérieurement en injectant un programme de téléchargement dans un processus 'svchost.exe' légitime.

Selon une analyse de Bitdefender Labs, rootkit downloader est lui-même multifonctionnel; il peut également extraire les identifiants de connexion des navigateurs susmentionnés et utiliser des DLL spécialisées.

Parmi les données utiles observées par les chercheurs roumains de Bitdefender,, il en existe une pour les utilisateurs abonnés aux chaînes YouTube, Cela a surpris les chercheurs de Tencent (Chercheurs Chinois) étant donné que son origine semble être en Chine à Jiangsu et Zhejiang, où YouTube est bloqué au niveau du pays.

Cependant, Bitdefender indique que l'activité de Scranos continue d'évoluer et d'atteindre les ordinateurs en Inde, en Roumanie, au Brésil, en France, en Italie et en Indonésie. De plus, les échantillons analysés suggèrent que les opérateurs testent en permanence de nouveaux composants sur des machines déjà infectées.
Scranos_payload-download.png

Le payload YouTube utilise Chrome en mode débogage et le masque dans la barre des tâches, même si le processus reste visible. Si Chrome n'est pas présent sur l'ordinateur infecté, le logiciel malveillant l'installe sur le système.

En une seule journée, le payload de YouTube a lancé une promotion agressive pour une chaîne donnée, qui a attiré plus de 3 100 nouveaux abonnés.

Le payload pour l'installation des extensions de navigateur cible Chrome, Opera et Internet Explorer et est conçue pour ajouter du JavaScript sur des pages Web, ajouter des options de menu contextuel ou modifier le moteur de recherche par défaut.

Sur Chrome, il peut ajouter les extensions Filtre Chrome, Fierce-tips et PDF-Maker, la dernière disponible dans le Chrome Web Store, est installée par environ 128 000 utilisateurs au moment de l'écriture.
Scranos-extensions.png
Le payload de spam de Facebook est responsable de l'envoi de demandes d'amis et de messages de phishing avec des liens vers des APK Android suspects. Il vole les cookies Facebook de Chrome et d'autres navigateurs à base de chrome, ainsi que ceux de Mozilla Firefox.

Pour piller les mêmes informations de Microsoft Edge, il s’appuie sur EdgeCookiesView , un outil légitime du développeur Nirsoft, dont les produits ont été incorporés dans le passé par les développeurs de logiciels malveillants.

Les logiciels malveillants permettant de voler des informations stockées dans des comptes Steam peuvent être inclus dans le downloader initial qui obtient le rootkit, mais il existe également en tant que composant séparé.

Il commence par réinitialiser les clés de registre pour la mémorisation des informations d'identification du compte Steam afin que l'utilisateur soit obligé de se connecter. Outre les informations d'identification, les données volées incluent une liste des jeux installés sur le système, l'heure de leur dernière utilisation et les jeux disponibles. dans le compte Steam.

Les chercheurs de Bitdefender affirment que l'opération Scranos est toujours un travail en cours qui continue de s'améliorer et de s'étendre à d'autres régions.
Le taux mondial d’infections est actuellement faible - moins de 5 000 dans les pays autres que la Chine, principalement sur des ordinateurs Windows 10.

Toutefois, de nouvelles activités ont été détectées en mars, lorsque les serveurs de commande et de contrôle ont commencé à utiliser d'autres programmes malveillants, suggérant une affiliation avec d'autres parties.

Par ex on peut le trouver également en tant qu'application android, et sur au moins une application du google store (je ne mets pas le lien)
Les cibles sont les mêmes (facebook, navigateurs etc)
Il faut lire les commentaires ...
2019-04-19_233406.png


DETAILS

Si vous lisez le chinois (ou via google translate) : https://bbs.guanjia.qq.com/thread-483856-1-1.html
https://labs.bitdefender.com/wp-content ... operation/



SE PREMUNIR

Evidemment ne pas télécharger de cracks
Ce que les chercheurs chinois préconisent (mais ce n'est peut être valable que pour la version analysée) :

Désactivez les ports à haut risque qui ne sont pas couramment utilisés, tels que 3389

Bloquer les domaines :

Www.ab12.fun
B12.fun
Count.b12.fun
Info.d3pk.com
Dl.ossdown.fun

les IP

154.48.232.234
104.27.137.193
104.27.157.2

Et les adresses :

Hxxp: //www.ab12.fun/tool/88.dll
Hxxp: //count.b12.fun/jump.php
Hxxp: //www.ab12.fun/info/info.php? Brwoser =
Hxxp: //b12.fun/info.php
Hxxp: //dl.ossdown.fun/y2b.dat
Hxxp: //dl.ossdown.fun/g.dat



UNE FOIS INFECTE

Ce que propose Bitdefender

1) Fermez votre (vos) navigateur (s).
2) Tuez tous les processus exécutés à partir du chemin temporaire. Supprimez les fichiers détectés comme malveillants.
3) Tuez le processus rundll32.exe.
4) Générez le nom du fichier rootkit comme suit:
• Obtenir le SID de l’utilisateur actuel.
• Calculez MD5 de la chaîne résultante de a).
• Obtenez les 12 premiers caractères de b).
5) Exécutez une fenêtre cmd ou PowerShell avec les droits d’administrateur et tapez:
> sc stop <chaîne résultant de l'étape 4
> sc delete <chaîne résultant de l'étape 4
6) Accédez à% WINDIR% \ System32 \ drivers, recherchez un fichier <chaîne résultant de l'étape 4> .sys et supprimez-le.
7) Supprimez le pilote DNS (ci-dessous, MOIYZBWQSO doit être remplacé par votre nom de pilote particulier):
• Vérifiez si le pilote DNS est installé: dans% TEMP% devrait être un fichier avec 10 lettres majuscules aléatoires (ex: MOIYZBWQSO.
sys). Dans le registre, il devrait également y avoir une clé correspondant au nom (ex: HKEY_LOCAL_MACHINE \ SYSTEM \
CurrentControlSet \ Services \ MOIYZBWQSO)
• Exécutez une fenêtre cmd ou PowerShell avec les droits d’administrateur et tapez:
• sc arrêter MOIYZBWQSO
• sc supprimer MOIYZBWQSO
• Supprimez le fichier% TEMP% \ MOIYZBWQSO.sys.
8) Redémarrez votre PC pour supprimer le code injecté du processus svchost.exe.
9) Supprimez toute extension douteuse de votre navigateur.
10) Changez tous vos mots de passe.


Only Amiga... was possible !


Malekal_morte
Site Admin
Site Admin
Messages : 95745
Inscription : 10 sept. 2005 13:57
Contact :

Re: SCRANOS la nouvelle terreur du Web

Message par Malekal_morte » 20 avr. 2019 11:24

J'avais vu la news et bizarrement je m'étais dit que je ne l'avais jamais croisé lors des désinfections.
Que ce soit au niveau des symptômes que des rapports FRST.
Parce que bon le pilote en chinois c'est pas très discret.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 2140
Inscription : 02 juin 2012 20:48

Re: SCRANOS la nouvelle terreur du Web

Message par Parisien_entraide » 20 avr. 2019 11:53

Il est vrai que depuis fin 2018 ce rootkit est relativement discret, mais depuis mars il y a un régime d'affiliation (abonnement) où les béneficiaires pourront injecter de nouveaux modules en fonction des pays et/ou des besoins
Donc initialement il se présentait comme un pilote vidéo, mais le côté "jeu de legos" lui permet de s'ouvrir sur de nouvelles façons d'infecter (ex sur les .apk android, qui permettent de proposer des applications qui arrivent à passer la barrière du Store de google

https://labs.bitdefender.com/wp-content ... operation/

Il est donc possible que l'on ne soit qu'au début du processus concernant les personnes infectées
Only Amiga... was possible !

Malekal_morte
Site Admin
Site Admin
Messages : 95745
Inscription : 10 sept. 2005 13:57
Contact :

Re: SCRANOS la nouvelle terreur du Web

Message par Malekal_morte » 22 avr. 2019 17:16

Bon il est plus précent que cela en fait.

Je viens de le croiser sur un sujet : https://pjjoint.malekal.com/files.php?r ... 2n13p15w11
R1 E3C87B64EFF0; C:\WINDOWS\E3C87B64EFF0.sys [621928 2019-01-07] (韵羽健康管理咨询(上海)有限公司 -> VideoDriver)
et sur ces sujets de mars :
FRST_20190305_j9p6v7u12f13:R1 A60B2FB2EA2E; C:\Windows\A60B2FB2EA2E.sys [619880 2019-03-05] (韵羽健康管理咨询(上海)有限公司 -> VxDriver)
FRST_20190305_j9p6v7u12f13:2019-03-05 09:11 - 2019-03-05 09:11 - 000619880 ____N (VxDriver) C:\Windows\A60B2FB2EA2E.sys
FRST_20190307_b8p12h8w5g14:S1 5744629EB647; C:\WINDOWS\5744629EB647.sys [619880 2019-03-07] (韵羽健康管理咨询(上海)有限公司 -> VxDriver)
FRST_20190307_b8p12h8w5g14:2019-03-07 20:13 - 2019-03-07 20:13 - 000619880 _____ (VxDriver) C:\WINDOWS\5744629EB647.sys
FRST_20190321_p10x7p10o8h5:R1 B73EFEAE08DE; C:\Windows\B73EFEAE08DE.sys [619880 2019-03-15] (韵羽健康管理咨询(上海)有限公司 -> VxDriver)
FRST_20190321_p10x7p10o8h5:2019-03-15 19:36 - 2019-03-15 19:36 - 000619880 ____N (VxDriver) C:\Windows\B73EFEAE08DE.sys
FRST_20190321_p11f13n14h8v8:R1 B73EFEAE08DE; C:\Windows\B73EFEAE08DE.sys [619880 2019-03-15] (韵羽健康管理咨询(上海)有限公司 -> VxDriver)
FRST_20190321_p11f13n14h8v8:2019-03-15 19:36 - 2019-03-15 19:36 - 000619880 ____N (VxDriver) C:\Windows\B73EFEAE08DE.sys
FRST_20190321_q9y7d15z12b9:R1 B73EFEAE08DE; C:\Windows\B73EFEAE08DE.sys [619880 2019-03-15] (韵羽健康管理咨询(上海)有限公司 -> VxDriver)
FRST_20190321_q9y7d15z12b9:2019-03-15 19:36 - 2019-03-15 19:36 - 000619880 ____N (VxDriver) C:\Windows\B73EFEAE08DE.sys
Février :
FRST_20190202_b7i13d7t14y6:R1 9DE85418193E; C:\Windows\9DE85418193E.sys [621928 2019-01-31] (VxDriver)
FRST_20190202_b7i13d7t14y6:2019-01-31 19:50 - 2019-01-31 19:50 - 000621928 _____ (VxDriver) C:\Windows\9DE85418193E.sys
FRST_20190204_k13j14q9k7c9:2019-02-04 12:08 - 2019-02-04 12:08 - 000621928 _____ (VxDriver) C:\Windows\008C39C20AFA.sys
FRST_20190205_o13u5h12s10s5:2019-01-31 22:53 - 2019-01-31 22:53 - 000621928 _____ (VxDriver) C:\Windows\6A733D4E8715.sys
FRST_20190210_6b9u6t7d8:2019-02-10 11:55 - 2019-02-10 11:55 - 000621928 _____ (VxDriver) C:\Windows\5A54FB3632B3.sys
FRST_20190214_j6y7z11t9u10:R1 CB41249DC996; C:\Windows\CB41249DC996.sys [621928 2019-02-11] (韵羽健康管理咨询(上海)有限公司 -> VxDriver)
FRST_20190214_j6y7z11t9u10:2019-02-11 13:48 - 2019-02-11 13:48 - 000621928 _____ (VxDriver) C:\Windows\CB41249DC996.sys
FRST_20190218_t11u15c11o5o7:R1 8BE1D4802253; C:\Windows\8BE1D4802253.sys [621928 2019-02-12] (韵羽健康管理咨询(上海)有限公司 -> VxDriver)
FRST_20190218_t11u15c11o5o7:2019-02-12 14:13 - 2019-02-12 14:13 - 000621928 _____ (VxDriver) C:\Windows\8BE1D4802253.sys
FRST_20190220_n6z10h87b14:R1 365B58719498; C:\Windows\365B58719498.sys [621928 2019-01-27] (韵羽健康管理咨询(上海)有限公司 -> VideoDriver)
FRST_20190220_n6z10h87b14:2019-01-27 14:12 - 2019-01-27 14:12 - 000621928 _____ (VideoDriver) C:\Windows\365B58719498.sys
FRST_20190221_d159h6i13h13:R1 1472FE948FD3; C:\Windows\1472FE948FD3.sys [621928 2019-02-18] (韵羽健康管理咨询(上海)有限公司 -> VxDriver)
FRST_20190221_d159h6i13h13:2019-02-18 08:31 - 2019-02-18 08:31 - 000621928 _____ (VxDriver) C:\Windows\1472FE948FD3.sys
FRST_20190228_w10v13u11d15o9:R1 412CA337B22D; C:\Windows\412CA337B22D.sys [621928 2019-02-04] (韵羽健康管理咨询(上海)有限公司 -> VxDriver)
FRST_20190228_w10v13u11d15o9:2019-02-04 22:36 - 2019-02-04 22:36 - 000621928 _____ (VxDriver) C:\Windows\412CA337B22D.sys
Janvier :
FRST_20190102_f12n8p1413u12:2018-12-20 14:29 - 2018-12-20 14:29 - 000621416 _____ (VideoDriver) C:\Windows\9B76E5DCC14A.sys
FRST_20190102_j13w10t11q12u14:2018-12-20 14:29 - 2018-12-20 14:29 - 000621416 _____ (VideoDriver) C:\Windows\9B76E5DCC14A.sys
FRST_20190102_n7u13r15m13i13:2018-12-20 14:29 - 2018-12-20 14:29 - 000621416 _____ (VideoDriver) C:\Windows\9B76E5DCC14A.sys
FRST_20190102_t711z13w8m10:2018-12-20 14:29 - 2018-12-20 14:29 - 000621416 _____ (VideoDriver) C:\Windows\9B76E5DCC14A.sys
FRST_20190129_b15d8h14w11d5:R1 4362D5207010; C:\Windows\4362D5207010.sys [493800 2019-01-28] (VideoDriver)
FRST_20190129_b15d8h14w11d5:2019-01-28 14:44 - 2019-01-28 14:44 - 000493800 _____ (VideoDriver) C:\Windows\4362D5207010.sys
FRST_20190129_w7x15w5q8d9:R1 4362D5207010; C:\Windows\4362D5207010.sys [493800 2019-01-28] (VideoDriver)
FRST_20190129_w7x15w5q8d9:2019-01-28 14:44 - 2019-01-28 14:44 - 000493800 _____ (VideoDriver) C:\Windows\4362D5207010.sys
il y atrois groupes de pilotes avec des tailles différentes :
621928 o
619880 o
493800 o
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 2140
Inscription : 02 juin 2012 20:48

Re: SCRANOS la nouvelle terreur du Web

Message par Parisien_entraide » 22 avr. 2019 17:39

C'est un début :-)
Only Amiga... was possible !


Malekal_morte
Site Admin
Site Admin
Messages : 95745
Inscription : 10 sept. 2005 13:57
Contact :

Re: SCRANOS la nouvelle terreur du Web

Message par Malekal_morte » 22 avr. 2019 18:08

bon par contre, FRST n'est pas capable de le supprimer :
Impossible de déplacer "C:\WINDOWS\E3C87B64EFF0.sys" => Planifié pour déplacement au redémarrage.
C:\WINDOWS\E3C87B64EFF0.sys => Impossible de déplacer
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 2140
Inscription : 02 juin 2012 20:48

Re: SCRANOS la nouvelle terreur du Web

Message par Parisien_entraide » 22 avr. 2019 19:55

Only Amiga... was possible !

Malekal_morte
Site Admin
Site Admin
Messages : 95745
Inscription : 10 sept. 2005 13:57
Contact :

Re: SCRANOS la nouvelle terreur du Web

Message par Malekal_morte » 23 avr. 2019 10:56

C'est bon, FRST l'a viré en deux temps =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 95745
Inscription : 10 sept. 2005 13:57
Contact :

Re: SCRANOS la nouvelle terreur du Web

Message par Malekal_morte » 04 mai 2019 21:12

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »