Stantinko botnet: bányászkodnak a vírusos számítógépek

​Az eddig legalább félmillió számítógépet megfertőző Stantinko botnet immár kriptopénzek bányászatába is belekezdett.
 

A Stantinko botnet üzemeltetői - akik körülbelül félmillió számítógépet irányítanak távolból, és legalább 2012 óta aktívak - elsősorban Oroszország, Ukrajna, Fehéroroszország és Kazahsztán felhasználóit célozzák. Azonban nemrégen egy új üzleti modellel bővítették arzenáljukat, ami nem túl jó előjel.

"Miután évek óta kattintási csalásokra, fertőzött online hirdetésekre, közösségi médiás csalásokra és a hitelesítő adatok ellopására támaszkodtak, a Stantinko most elkezdte a Monero kriptovaluta bányászatát is. Vizsgálataink szerint legalább 2018 augusztusa óta telepít a botnet mögött álló csoport kriptovaluta-bányász modult az általuk irányított számítógépekre" - mondta Vladislav Hrčka, az ESET kártevő elemzője.

Rejtőzködés mindenek előtt

A Stantinko kriptobányász modulja az xmr-stak nyílt forráskódú eszköz erősen módosított változata. A modul leginkább figyelemre méltó tulajdonsága, hogy az elemzés és az észlelés elkerülése érdekében a készítői furmányos módszerekkel igyekeznek megtéveszteni a biztonsági technológiákat. 

"A Stantinko operátorai minden új áldozathoz külön hozzáigazítják a modulokat, teljesen egyedivé teszik ezek mintáját" - tette hozzá a szakember.

A megtévesztés mellett a Stantinko további érdekes trükköket is alkalmaz: a kommunikáció elrejtésének érdekében a modul nem közvetlenül kommunikál a bányászhálózatokkal, hanem proxykon keresztül, amelyek IP-címei YouTube-videók leírásaiból származnak. Az ESET tájékoztatta a YouTube szakértőit a visszaélésről, akik a jelzés után az összes ilyen csatornát letiltották. 

A rejtőzködés érdekében a Stantinko felfüggeszti az erőforrásigényes kriptobányászatot, ha a számítógép akkumulátorról működik, vagy ha a Feladatkezelő jelenlétét észleli. Ezenkívül a program azt is ellenőrzi, hogy a számítógépen működnek-e más kriptobányász alkalmazások. Amennyiben igen, akkor leállítja azok működését. 

"Noha a Stantinko messze nem a legveszélyesebb kártevő, de az enyhén szólva is bosszantó, ha a számítógépünket a tudtunk nélkül bűnözők használják pénzszerzésre. Ijesztő a tény, hogy a Stantinko bármikor, bármilyen más kártevő programot is telepíthet az áldozatok számítógépeire" - figyelmeztetett Vladislav Hrčka.