犯罪分子竟使用签名Rootkit窃取登录和付款信息

近期，研究人员发现有网络犯罪分子正在大规模的恶意活动中使用数字签名的Rootkit来窃取目标用户的登录凭证、支付信息以及浏览器历史记录，并以此来对社交网络用户进行网络诈骗以及恶意广告传播活动。

研究人员将此系列恶意活动命名为了“Scranos”，在此攻击活动中， Rootkit会要求目标用户安装一个视频驱动程序。安装完成后，它便会下载攻击者所设定的Payload。受此攻击影响的除了像Chrome、Chromium、Firefox、Opera、Edge和IE这些常用浏览器之外，还有Facebook、Amazon、Airbnb、Steam和Youtube这样的网络在线服务。

攻击形式新颖

研究人员表示，Rootkit签名所使用的证书很有可能是窃取来的。签名所用的数字证书来自于上海的一家健康管理咨询公司，而这家公司并未涉足软件开发领域。目前，该证书仍然是有效的。

研究人员目前已将Scranos活动的【详细分析报告】发布了出来，并在报告中详细介绍了此次攻击活动中所涉及到的攻击组件。

技术细节

攻击者在感染目标Windows系统时使用的是内存Rootkit，在实现感染时主要利用的是伪装成合法应用程序的电子书浏览器、视频播放器或反恶意软件产品。为了实现在目标主机上的持久化感染，Scranos会在目标设备关闭之前向硬盘覆盖写入数据，并在完成后删除所有的Payload。而且在某些特殊情况下，Payload甚至会向合法进程“svchost.exe”中注入恶意下载器。

根据研究人员的分析，目前该恶意软件样本的功能只包括：下载和运行Payload Dropper、实现持久化感染，以及删除正在使用的文件（用于移除内存中的Payload）。

但研究人员表示，Rootkit下载器是一款多功能的恶意软件，它还可以从刚才我们提到的浏览器中提取目标用户的登录凭证，并使用恶意DLL文件来实施其他攻击。

感染范围

除了Youtube用户之外，很大一部分目标用户都来自于中国，其中包括广东、上海、江苏和浙江的数万名用户在内。

但研究人员也表示，Scranos活动目前仍在不断进化，而它的感染范围也已经扩张到了印度、罗马尼亚、巴西、法国、意大利和印度尼西亚等国家和地图。除此之外，根据研究人员对恶意软件样本的分析，攻击者还有可能会在恶意软件中增加多种新型的感染组件。

Payload分析

针对Youtube频道的Payload使用了Chrome的调试模式，并将自身从任务栏中隐藏，不过我们还是可以通过任务管理器来查看到相应恶意软件的活动。如果目标主机中没有安装Chrome，恶意软件会直接安装在目标系统中。

研究人员表示：“我们在对一个Youtube页面及西宁分析后，我们发现恶意软件会先在Chrome中打开一个URL，然后利用恶意Payload来控制Chrome在这个页面中进行各种操作：打开一个视频，然后静音，并订阅该频道，最后点击恶意广告，而这些操作全部都是通过Chrome的调式命令完成的。”

在一天之内，YouTube Payload可以在后台悄悄订阅大量的特定频道，每天大约可以给目标频道带来3100多个新订阅者。

用于安装浏览器插件的Payload可以攻击Chrome、Opera和IE等支持Web页面JavaScript功能的浏览器。

在Chrome中，它可以Chrome Filter、Fierce-tips和PDF-Maker等插件，而最后一个目前仍然可以在ChromeWeb商城中找到，而且装机量也达到了12万8千多。

Facebook网络诈骗Payload负责发送好友请求以及钓鱼信息（恶意链接指向一个Android APK文件）。它可以从Firefox、Chrome以及其他基于Chromium的浏览器中窃取Cookie信息。

针对Edge浏览器，它会安装EdgeCookiesView这款工具，这款工具是Nirsoft开发的一款合法工具，而他所开发的工具是很多恶意软件开发人员以前都使用过的。

针对Steam账号，它首先会使用初始下载器下载安装Rootkit以及其他组件。然后重新设置一个注册表键来存储Steam账号凭证。除了凭证数据之外，窃取的数据还包括系统中安装的游戏列表以及上一次游戏时间等等。

研究人员表示，目前Scranos活动仍在持续进行中，而且攻击手段一直在不断进化升级，而且影响范围也在逐步扩大，其中绝大多数受影响的用户都是Windows 10用户。

* 参考来源：bleepingcomputer，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM