Компанія ESET — лідер в галузі інформаційної безпеки — попереджає про виявлення нових функціональних можливостей вже відомого ботнету Stantinko. Тепер загроза здатна здійснювати майнінг криптовалюти Monero на контрольованих пристроях. Група кіберзлочинців Stantinko активна щонайменше з 2012 року і в основному націлена на користувачів Росії, України, Білорусі та Казахстану. Варто зазначити, що під управлінням операторів ботнету Stantinko опинилося приблизно півмільйона комп'ютерів.
«Після багатьох років шахрайських дій з кліками та показу рекламних оголошень, шахрайства в соцмережах та викрадення даних, Stantinko почав здійснювати майнінг криптовалюти Monero. Щонайменше з серпня 2018 року його оператори розповсюджують модуль для майнінгу криптовалюти на комп'ютери, якими вони управляють», — коментують дослідники ESET.
Модуль для майнінгу криптовалюти: особливості інфікування пристроїв
Модуль Stantinko для майнінгу криптовалюти, який продукти ESET виявляють як Win {32,64}/CoinMiner.Stantinko, є модифікованою версією криптомайнера з відкритим кодом xmr-stak. Однією з особливостей цього модуля є використання методів заплутування коду для запобігання аналізу та уникнення виявлення. «Завдяки використанню методів заплутування коду та компіляції модуля Stantinko для кожної нової жертви, кожен зразок модуля є унікальним»,— коментують спеціалісти ESET.
Крім використання методів заплутування коду, CoinMiner.Stantinko використовує ще кілька цікавих прийомів. Зокрема для приховування зв’язку, модуль не з’єднується безпосередньо зі своїм майнінг-пулом, а використовує для цього проксі, IP-адреси яких отримані з тексту відео на YouTube. Варто зазначити, що аналогічну техніку приховування даних в описах відео YouTube застосовував банківський троян Casbaneiro, який було нещодавно проаналізовано дослідниками ESET.
«Ми повідомили YouTube про цей випадок, і всі канали з цими відео були видалені», — коментують спеціалісти ESET.
Для запобігання виявленню CoinMiner.Stantinko зупиняє процес майнінгу криптовалют, якщо ПК працює від батареї або у разі виявлення диспетчера завдань. Він також перевіряє, чи працюють на комп’ютері інші додатки для майнінгу криптовалюти та призупиняє їх. Крім цього, шкідлива програма також сканує запущені процеси, щоб знайти програмне забезпечення з безпеки.
«Хоча CoinMiner.Stantinko не вважають найнебезпечнішою шкідливою програмою, проте в будь-який момент кіберзлочинці можуть інфікувати пристрої користувачів іншим шкідливим програмним забезпеченням», — попереджають спеціалісти ESET.
У зв’язку з поширенням подібних загроз спеціалісти ESET рекомендують дотримуватися основних правил для захисту від ботнетів та використовувати надійне рішення з безпеки.
Детальніша інформація про ботнет Stantinko доступна за посиланням.