Компания ESET — лидер в области проактивного обнаружения — сообщает об обнаружении сложной угрозы Stantinko, жертвами которой уже стали около полумиллиона пользователей.
Скрытая вредоносная программа привлекает жертв загружать пиратское программное обеспечение с поддельных торрент-сайтов и постоянно меняется, избегая обнаружения в течение последних пяти лет. Первая кампания распространения программы длилась три года, а основными целями киберпреступников тогда стали пользователи России, Украины, Беларуси и Казахстана. Согласно данным телеметрии ЕSET, те же страны лидируют по количеству заражений и по состоянию на апрель 2017 года.
Уровень распространения Stantinko во время первой кампании (в 2012-2015 годах)
Уровень распространения Stantinko во время текущей кампании (в 2015 году и до сегодня)
Нацеливаясь преимущественно на русскоязычных пользователей, сеть ботов Stantinko устанавливает расширения браузера и получает прибыль за показ объявлений при просмотре веб-страниц. После установки на компьютере жертвы угроза также может анонимно запускать поиск Google и создавать поддельные аккаунты Facebook с возможностью отдавать предпочтения изображением и страницам в социальной сети, а также добавлять друзей.
Избегает выявления Stantinko благодаря запутыванию и скрытию вредоносного кода. С помощью передовых технологий вредоносный код скрыт или зашифрован в файле или в реестре Windows. Затем он расшифровывается с помощью ключа, созданного в начале заражения. Вредоносное поведение программы невозможно обнаружить, пока угроза не получит новые компоненты из командного сервера.
После заражения компьютера Stantinko устанавливает две вредоносные службы в операционную систему Windows, которые загружаются каждый раз при запуске системы. «Служба каждого компонента имеет возможность осуществлять повторную установку в случае удаления одной из них из системы. Поэтому чтобы полностью устранить проблему, пользователь должен одновременно удалить обе службы с компьютера», — объясняют исследователи ESET.
Попадая на устройство жертвы, Stantinko устанавливает два плагина браузера, доступные в веб-магазине Google Chrome— «The Safe Surfing» и «Teddy Protection». «Оба плагина были доступны в Интернете во время нашего анализа», — рассказывают исследователи ESET. — На первый взгляд, они выглядят как легитимные расширения браузера и даже имеют веб-сайт. Однако после установки Stantinko расширения получают другую конфигурацию, которая содержит правила для выполнения мошеннических действий с кликами и показ объявлений».
После проникновения вредоносной программы в систему операторы Stantinko могут использовать гибкие плагины для дальнейших действий в зараженной системе. В частности, киберпреступники способны проводить массовые анонимные поиски сайтов Joomla и WordPress и выполнять атаки на эти сайты методом подбора ключей, находя и похищая данные, а также создавать фальшивые аккаунты в социальной сети Facebook.
Программа Stantinko может быть очень прибыльной, поскольку фальсификация кликов является основным источником доходов хакеров. Исследования, проведенные компанией WhiteOps и Ассоциацией национальных рекламодателей в США, показали, что мошенничество с кликами обойдется предприятиям в $6,5 млрд только за этот год.
В свою очередь, информация о сайтах, которые стали жертвами атаки методом подбора ключей Stantinko, также может быть продана на «черном» рынке. Несмотря на то, что исследователи ESET не зафиксировали активность программы в социальной сети, операторы Stantinko также имеют инструмент для совершения мошенничества в социальной сети Facebook, продавая «предпочтения» незаконно вовлеченных пользователей.
Кроме этого, плагины «Safe Surfing» и «Teddy Protection» могут показывать рекламу или перенаправлять пользователя на другие сайты. «Это позволяет операторам Stantinko получать деньги за трафик, который они предоставляют этим объявлениям. Специалисты также обнаружили, что пользователи могут перейти непосредственно на сайт рекламодателя через объявления Stantinko», — утверждают исследователи ESET.
Более подробную информация об угрозе можно найти по ссылке.