Windows 10 : gare à Scranos, nouveau malware voleur de mots de passe et générateur de clics sur YouTube

Maj. le 16 avril 2019 à 19 h 49 min

Un nouveau malware vise Windows 10 : Scranos est un rootkit découvert par Bitdefender – il vole les mots de passe, méthodes de paiement, comptes Steam… et simule des clics pour les vidéos YouTube. Ce malware connaitrait une progression fulgurante depuis quelques semaines. Il se cache dans des applications a priori inoffensives, et signées numériquement, donc assez difficiles à identifier. 

windows 10 malware

Bitdefender dévoile l’existence de Scranos, un nouveau malware qui se cache dans des applications a priori inoffensives. Celui-ci est un rootkit plutôt sophistiqué, dont la visée principale semble commerciale : générer frauduleusement des clics sur des publicités YouTube. Il comporte néanmoins aussi des composants capables de voler les mots de passe, méthodes de paiement et pouvant mener des attaques de comptes Facebook et Steam. Il peut aussi injecter des malware dans vos navigateurs, en particulier Internet Explorer.

Lire également : Asus – des milliers de PC infectés par un dangereux malware déguisé en mise à jour système

Windows 10 est visé par Scranos, nouveau malware « multifonction »

Selon les chercheurs, les instigateurs du malware seraient parvenus ainsi à constituer un botnet de plusieurs dizaines de milliers de machines infectées. Bitdefender ne donne pas de liste d’applications vectrices du malware – tout juste sait-on qu’il peut se cacher dans des lecteurs vidéo et de e-books. Et que les applications en questions sont signées, rendant leur identification plus complexe. Une fois installé, le rootkit installe les composants nécessaires pour qu’il puisse persister.

Puis contacte son serveur de contrôle pour télécharger des composants additionnels. La deuxième phase consiste à injecter des librairies dans Chrome, Firefox, Edge, Baidu et Yandex dans le but d’obtenir des données issues de Facebook, Youtube, Amazon et même AirBnB qui seront ensuite uploadées sur le serveur des pirates. Ensuite, le malware fait essentiellement une chose : promouvoir agressivement certaines chaines YouTube.

Bitdefender aurait identifié en particulier quatre chaines bénéficiant de l’activité du malware. Le malware ouvre Chrome en mode debug et cache la fenêtre afin que l’utilisateur ne s’aperçoive de (presque) rien. En tâche de fond, cette fenêtre cachée ouvre des vidéos sans le son, s’abonne à une chaîne choisie par les pirates, puis clique sur les publicités. Pour résumer, il transforme donc votre ordinateur en une petite ferme à clics.

Bitdefender donne dans un rapport détaillé une liste de domaines contactés par le malware en fonctionnement – et que les administrateurs réseau pourront bloquer pour empêcher l’exécution des payloads. Le malware étant désormais bien documenté, il doit être facile de le détecter avec un antivirus dont les définitions sont à jour – ce qui est le cas, on imagine, de Bitdefender.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Internet Explorer : Microsoft refuse de corriger une faille de sécurité critique

Internet Explorer est victime d’une nouvelle faille de sécurité critique, rapporte un chercheur en cybersécurité. Malgré les risques encourus par les utilisateurs, Microsoft refuse de proposer un correctif dans les plus brefs délais. Pour forcer la main de la firme, le chercheur a révélé l’existence de…

Téléchargez GHIDRA et prenez vous pour un espion de la NSA

Le logiciel GHIDRA utilisé par la NSA pour repérer et contrer des programmes malveillants est désormais disponible gratuitement pour tous. Open-source, il peut même être amélioré par la communauté.  Comme promis, la National Security Agency (NSA) des États-Unis a rendu…