Исследователи безопасности обнаружили необычное новое вредоносное ПО, которое крадет пароли пользователей и способы оплаты аккаунта, хранящиеся в браузере жертвы, а также увеличивает количество подписчиков YouTube и доходы. Об этом сообщает TechCrunch.

Вредоносное ПО, Scranos, является руткитом – проникает в уязвимые компьютеры Windows, чтобы получить постоянный доступ — даже после перезагрузки компьютера. Согласно последним исследованиям Bitdefender, опубликованным во вторник, Scranos появилось только в последние месяцы, однако число случаев заражения резко возросло.

«Мотивы сугубо коммерческие. Похоже, что злоумышленники заинтересованы в распространении ботнета для консолидации бизнеса путем заражения как можно большего количества устройств для злоупотребления рекламой и использования ее в качестве платформы для распространения вредоносных программ третьих сторон», — заявил директор по исследованиям угроз и отчетности Bitdefender Богдан Ботезату.

Bitdefender обнаружил, что вредоносное ПО распространяется через трояны, которые маскируются под настоящие приложения, такие как видеоплееры и программы для чтения электронных книг. Мошеннические приложения имеют цифровую подпись, чтобы предотвратить блокировку. После установки руткит загружает дополнительные вредоносные компоненты. Дропперы второго уровня внедряют пользовательские библиотеки кода в распространенные браузеры — Chrome, Firefox, Edge, Baidu и Yandex и многие другие — для таргетинга на учетные записи Facebook, YouTube, Amazon и Airbnb, собирая данные для отправки оператору.

Главным среди них является YouTube. Вредоносное ПО открывает Chrome в режиме отладки и, с полезной нагрузкой, скрывает окно браузера на рабочем столе и панели задач. Браузер обманным путем заставляет открывать видео YouTube в фоновом режиме, отключает его, подписывается на канал, указанный сервером управления и контроля, и кликает на объявления.

Исследователи обнаружили, что вредоносное ПО «агрессивно» продвигало четыре видео на YouTube по разным каналам, превращая компьютеры жертв в «ферму нажатий» для получения дохода от видео.

Другой загружаемый компонент позволяет вредоносной программе рассылать фишинговые сообщения на запросы друзей жертвы на Facebook. Скачивая пользовательские cookie-файлы для сессии, ПО отправляет вредоносную ссылку на рекламное приложение Android через сообщение чата.

«Если пользователь вошел в учетную запись Facebook, ПО его копирует и извлекает данные аккаунта, посещая определенные веб-страницы с компьютера пользователя, в том числе информацию о друзьях и платежные данные. Вредоносная программа также пытается украсть cookie-файлы для сессии в Instagram и количество подписчиков пользователя», — пояснил Ботезату. – «Кроме того, вредоносное ПО похищает информацию из учетных записей в Steam, вставляет рекламные программы в Internet Explorer, запускает мошеннические расширения Chrome, а также собирает и загружает историю просмотров пользователя».