BitDefender Labs attire l'attention sur la découverte d'une nouvelle forme de malware particulièrement sophistiquée actuellement déployée à travers le monde via les réseaux Internet.
Baptisé Scranos, le malware se propage via des logiciels Windows assez variés : lecteurs de livres électroniques, lecteur vidéo, drivers ou même logiciels de sécurité. Il a commencé à contaminer la Chine avant de se propager dans le monde entier jusqu'à arriver en France il y a quelques semaines.
Il se présente comme un cheval de Troie qui, une fois installé va déployer un ensemble de fichiers DLL pour collecter des cookies de navigateur et récupérer des identifiants Facebook, YouTube, Amazon, et Airbnb. Il se charge également de désactiver la protection Windows Defender Real Time Protection afin d'opérer sans encombre.
Puis, avant de s'auto détruire, Scranos installe un rootkit camouflé dans un driver vidéo. BitDefender a identifié la signature du driver comme étant originaire de la société Yun Yu Health Management Consulting Shanghai, mais le certificat a sans doute été volé. À chaque fois que l'utilisateur éteindra sa machine une fois le rootkit installé, le driver réalisera une sauvegarde des données dans un fichier pour programmer sa propre réactivation dans le registre Windows.
Le rootkit peut injecter un downloader dans un processus de Windows dans le but de télécharger d'autres logiciels malveillants ciblant la récolte d'autres données, il se présente ainsi comme une porte dérobée permettant de multiplier les attaques. BitDefender note la complexité particulière de Scranos qui aurait nécessité d'importants moyens et temps de développement, des moyens toujours mis à contribution puisque les développeurs du malware continuent de tester chaque jour de nouveaux modules injectés à distance sur les PC infectés.
