Rootkits är ett slags falska drivrutiner som installeras för att dölja den skadliga koden. Typiska egenskaper är att rootkits är beständiga och i och med att de installeras som drivrutiner får tillgång till kärnprocesser.

Som tur är är rootkits ganska svåra att sprida och installera på främmande datorer eftersom drivrutiner oftast är signerade med giltiga certifikat. Rootkits står för mindre än en procent av världens all skadlig kod, och är oftast förknippade med riktade attacker. Moderna operativsystem ska inte installera drivrutiner (eller rootkits) om de inte är korrekt signerade med ett giltigt certifikat. Men saken kommer i en annan dager om utvecklare av ett rootkit på något sätt kommit över ett giltigt certifikat, vilket tycks vara fallet med Scranos.

Enligt it-säkerhetsföretaget Bitdefender har utvecklarna av Scranos, förmodligen olovligen, kommit över ett giltigt certifikat utgivet till det kinesiska företaget Yun Yu Health Management Consulting (Shanghai) Co., Ltd.

Bitdefender skriver i ett pressmeddelande att Scranos finns kommersiellt tillgängligt i det vilda, men verkar inte riktigt moget då utvecklarna verkar testa olika konfigurationer och olika typer av nyttolast. Bitdefender siar dock om att Scranos kan komma att få stor spridning, om inte annat för att Scranos har bredare plattformsstöd, inklusive Android-mobiler, och har en hög förmåga att infektera just mobiler.

TechWorld Summit 4 juni 2019, nätverka med 300 IT-proffs och få samtidigt en heltäckande överblick av den senaste tekniken.

Scranos tycks sprida sig via trojaniserade applikationer som crackade mjukvaror eller applikationer som utges för att vara e-bokläsare, videospelare, drivrutiner eller till och med antivirus-produkter. Om offret kör en infekterad fil kommer Scranos att installera sig som en drivrutin och kontakta sin kommandoserver för att ta emot vidare instruktioner om vilka övriga typer av skadlig kod den ska ladda ned och installera.

Scranos kan installera och köra en lång lista av olika program vars syfte är att stjäla kontouppgifter, ta över konton inom sociala media, lägga till prenumeranter på olika Youtube-kanaler, komma över betalningsinformation, installera tillägg i webbläsare och mycket annat. Scranos är enligt Bitdefender öppet att hyra för cyberkriminella som vill placera sin egen kod på offrens datorer.

Det är enligt uppgift mycket svårt att upptäcka Scranos på ett direkt sätt, men den lämnar förstås spår efter de aktiviteter nyttolasten kan utföra i offrets namn och med hjälp av offrets stulna konton. Scranos är skickligt utvecklad för att imitera användarbeteenden. Om man misstänker att man är infekterad ska man hålla koll på aktivitetsloggar, betalhistorik eller andra beteenden och aktiviteter som användaren inte utfört. Scranos går att avlägsna med rätt verktyg. Bitdefender har uppmärksammat utfärdaren av det aktuella certifikatet.

Läs också:
Microsoft släpper klassisk Solaris-debugger för Windows-utvecklare
Kraftig ökning av it-attacker mot Microsoft Office