Virus d'un nouveau genre, Scranos vole vos identifiants, désactive l'antivirus et pousse à installer des applications vérolées. Voici comment il opère.


au sommaire


    L'année dernière, des chercheurs en cybersécurité chez Bitdefender ont détecté une nouvelle opération destinée à voler des données et mots de passe des internautes. Jusqu'à présent, l'attaque ciblait principalement les utilisateurs en Chine, mais le mode opératoire a changé et depuis peu le groupe de hackers cible le monde entier, et notamment la France.

    L'opération, baptisée Scranos, utilise un cheval de Troie qui se fait passer pour des logiciels payants piratés, mais également des logiciels légitimes comme un lecteur de livres numériques, un lecteur multimédia ou même un antivirus. Le programme contient un rootkit intégrant un pilote signé numériquement avec un certificat volé. Il donne un accès administrateur à la machine infectée et se connecte ensuite à un serveur de contrôle via des processus légitimes pour télécharger de nouveaux composants en toute discrétion.

    Un virus difficile à détecter et très modulable

    L'utilisation d'un pilote permet au malwaremalware de se cacher. Il se copie de nouveau sur le disque durdisque dur à chaque extinction, empêchant effectivement sa suppression, et ajoute une clé dans le registre afin de démarrer automatiquement avec Windows. Il s'agit du seul fichier enregistré sur le disque dur, tous les autres composants étant supprimés après utilisation. L'attaque est déjà très sophistiquée, mais n'en serait qu'à ses débuts. Les chercheurs indiquent que le groupe teste régulièrement de nouveaux composants logiciels, et met à jour ceux déjà utilisés. 

    Les premières infections à l'échelle planétaire ont été détectées en novembre 2018, avec un pic en début d'année. Au mois de mars, les serveurs de commande ont commencé à installer de nouveaux malwares sur les ordinateursordinateurs des victimes, ce qui indiquerait une affiliationaffiliation (payante) avec d'autres groupes. Les chercheurs soulignent que le virus est beaucoup plus présent dans six pays : l'Inde, la Roumanie, le Brésil, l'Italie, l'Indonésie et... la France !

    En infectant les DLL de fichiers liés à Amazon et Facebook, le malware peut récupérer les cookies et ainsi vos mots de passe, identifiants et coordonnées bancaires. © Bitdefender
    En infectant les DLL de fichiers liés à Amazon et Facebook, le malware peut récupérer les cookies et ainsi vos mots de passe, identifiants et coordonnées bancaires. © Bitdefender

    Des vols de données et la génération de revenus

    Le malware cherche avant tout à voler des données et mots de passe, et pour cela utilise différents modules. Il parvient ainsi à extraire les cookiescookies et voler les identifiants ainsi que l'historique de navigation avec les principaux navigateursnavigateurs, dont GoogleGoogle Chrome, Mozilla Firefox, MicrosoftMicrosoft EdgeEdge, Opera et InternetInternet Explorer, et affiche des publicités dans Internet Explorer, Chrome et Opera. Il peut voler les informations de paiement depuis les comptes FacebookFacebook, AmazonAmazon et Airbnb et utiliser le compte Facebook pour inviter de nouveaux amis ou envoyer des liens vers des pages contenant un malware pour appareils mobilesmobiles Android.

    Il est également capable de souscrire l'utilisateur à des chaînes sur YouTubeYouTube, d'afficher des publicités et vidéos YouTube de manière silencieuse en arrière-plan, et même de simuler des clics sur les publicités pour générer des revenus. Pour ces actions, il nécessite toutefois le navigateur Google Chrome. S'il n'est pas déjà présent, Scranos l'installe.

    Scranos est donc une menace importante en pleine évolution ; il est donc important de redoubler de vigilance en téléchargeant des logiciels et de s'assurer que son antivirus est à jour.