Yeni Bir Rootkit Yazılımı Olan Scranos Tarayıcıya Yerleşerek Şifreleri Çalıyor

Yeni Bir Rootkit Yazılımı Olan Scranos Tarayıcıya Yerleşerek Şifreleri Çalıyor

Tarayıcılarda gizlenen, kullanıcıların şifrelerini ve ödeme bilgilerini çalan yeni bir kötücül yazılım keşfedildi. Aynı zamanda kullanıcının arama geçmişi içeriğine ve reklamlarına da erişebiliyor. Rootkit özelliklerine sahip olan Scranos isimli kötücül yazılım, zafiyetli Windows işletim sistemlerinde bilgisayar yeniden başlatılsa dahi çalışmaya devam edebiliyor.

Kaynak: Zack Whittaker (2019). Scranos, a new rootkit malware, steals passwords and pushes YouTube clicks. https://techcrunch.com/2019/04/16/scranos-rootkit-passwords-payments/

Bitfender Tehdit Araştırma ve Raporlama Direktörü Bogdan Botezatu, bu yazılımın ticari bir amaç benimseyebileceğini öne sürdü. Botezatu’ya göre bu yazılımı mümkün olduğunca çok tarayıcıya bulaştırarak reklamları kötüye kullanıp 3. parti kötücül yazılımları dağıtım platformu olarak kullanmak hedefleniyor.

Rootkit tarayıcıya yerleştikten sonra ek bileşenlerini tamamlayabilmek ve tarayıcı içerisinde kalabilmek için komut ve kontrol sunucusuna ev sahipliği yapar. Sonrasında, özellikle Facebook, YouTube, Amazon ve Airbnb hesaplarından toplanan verileri kötücül yazılıma gönderecek olan özel kod parçacıklarını Chrome, Firefox, Edge, Baidu ve Yandex gibi tarayıcılara enjekte ederek sistemin içinde yer edinir.

Scranos, Chrome’u hata ayıklama modunda virüsle birlikte açar; virüs masaüstündeki ve görev çubuğundaki tarayıcı penceresini gizler. Böylece tarayıcı arkaplanda bir YouTube videosu açar ve sesini tamamen kısar. ‘Kullanıcı’ sunucu tarafından belirtilen bir kanala abone olup reklamlara tıklar. Bu şekilde de reklam tıklamalarından gelir elde edilmiş olunur.

Referanslar:

Swati Khandelwal (2019). Scranos: New rapidly evolving rootkit-enabled spyware discovered. https://thehackernews.com/2019/04/scranos-rootkit-spyware.html