Windows 10 : gare à Scranos, nouveau malware voleur de mots de passe et générateur de clics sur YouTube

Un nouveau malware vise Windows 10 : Scranos est un rootkit découvert par Bitdefender – il vole les mots de passe, méthodes de paiement, comptes Steam… et simule des clics pour les vidéos YouTube. Ce malware connaitrait une progression fulgurante depuis quelques semaines. Il se cache dans des applications a priori inoffensives, et signées numériquement, donc assez difficiles à identifier. 

Bitdefender dévoile l'existence de Scranos, un nouveau malware qui se cache dans des applications a priori inoffensives. Celui-ci est un rootkit plutôt sophistiqué, dont la visée principale semble commerciale : générer frauduleusement des clics sur des publicités YouTube. Il comporte néanmoins aussi des composants capables de voler les mots de passe, méthodes de paiement et pouvant mener des attaques de comptes Facebook et Steam. Il peut aussi injecter des malware dans vos navigateurs, en particulier Internet Explorer.

Lire également : Asus – des milliers de PC infectés par un dangereux malware déguisé en mise à jour système

Windows 10 est visé par Scranos, nouveau malware “multifonction”

Selon les chercheurs, les instigateurs du malware seraient parvenus ainsi à constituer un botnet de plusieurs dizaines de milliers de machines infectées. Bitdefender ne donne pas de liste d'applications vectrices du malware – tout juste sait-on qu'il peut se cacher dans des lecteurs vidéo et de e-books. Et que les applications en questions sont signées, rendant leur identification plus complexe. Une fois installé, le rootkit installe les composants nécessaires pour qu'il puisse persister.

Puis contacte son serveur de contrôle pour télécharger des composants additionnels. La deuxième phase consiste à injecter des librairies dans Chrome, Firefox, Edge, Baidu et Yandex dans le but d'obtenir des données issues de Facebook, Youtube, Amazon et même AirBnB qui seront ensuite uploadées sur le serveur des pirates. Ensuite, le malware fait essentiellement une chose : promouvoir agressivement certaines chaines YouTube.

Bitdefender aurait identifié en particulier quatre chaines bénéficiant de l'activité du malware. Le malware ouvre Chrome en mode debug et cache la fenêtre afin que l'utilisateur ne s'aperçoive de (presque) rien. En tâche de fond, cette fenêtre cachée ouvre des vidéos sans le son, s'abonne à une chaîne choisie par les pirates, puis clique sur les publicités. Pour résumer, il transforme donc votre ordinateur en une petite ferme à clics.

Bitdefender donne dans un rapport détaillé une liste de domaines contactés par le malware en fonctionnement – et que les administrateurs réseau pourront bloquer pour empêcher l'exécution des payloads. Le malware étant désormais bien documenté, il doit être facile de le détecter avec un antivirus dont les définitions sont à jour – ce qui est le cas, on imagine, de Bitdefender.