Группа киберпреступников Stantinko распространяет модуль для майнинга криптовалюты

Следующая новость

Компания ESET — лидер в области информационной безопасности — предупреждает об обнаружении новых функциональных возможностей уже известного ботнета Stantinko. Теперь угроза способна осуществлять майнинг криптовалюты Monero на контролируемых устройствах. Группа киберпреступников Stantinko активна по меньшей мере с 2012 года и в основном нацелена на пользователей России, Украины, Белоруссии и Казахстана. Стоит отметить, что под управлением операторов ботнета Stantinko оказалось примерно полмиллиона компьютеров.

«После многих лет мошеннических действий с кликами и показа рекламных объявлений, мошенничества в соцсетях и похищения данных, Stantinko начал осуществлять майнинг криптовалюты Monero. По меньшей мере с августа 2018 года его операторы распространяют модуль для майнинга криптовалюты на компьютеры, которыми они управляют», — комментируют исследователи ESET.

Модуль для майнинга криптовалюты: особенности  заражения устройств

Модуль Stantinko для майнинга криптовалюты, который продукты ESET обнаруживают как Win {32,64}/CoinMiner.Stantinko, является модифицированной версией криптомайнера с открытым кодом xmr-stak. Одной из особенностей этого модуля является использование методов запутывания кода для предотвращения анализа и избежания обнаружения. «Благодаря использованию методов запутывания кода и компиляции модуля Stantinko для каждой новой жертвы каждый образец модуля является уникальным»,— комментируют специалисты ESET.

Кроме использования методов запутывания кода, CoinMiner.Stantinko использует еще несколько интересных приемов. В частности, для скрытия связи модуль не соединяется непосредственно со своим майнинг-пулом, а использует для этого прокси, IP-адреса которых получены из текста видео на YouTube. Стоит отметить, что аналогичную технику скрытия данных в описаниях видео YouTube применял банковский троян Casbaneiro, который был недавно проанализирован исследователями ESET.

«Мы сообщили YouTube об этом случае, и все каналы с этими видео были удалены», — комментируют специалисты ESET.

Для предотвращения выявления CoinMiner.Stantinko останавливает процесс майнинга криптовалюты, если ПК работает от батареи или в случае обнаружения диспетчера задач. Он также проверяет, работают ли на компьютере другие приложения для майнинга криптовалюты и приостанавливает их. Кроме этого, вредоносная программа также сканирует запущенные процессы, чтобы найти программное обеспечение по безопасности.

«Хотя CoinMiner.Stantinko не считают опасной вредоносной программой, однако в любой момент киберпреступники могут заражать устройства пользователей другим вредоносным программным обеспечением», — предупреждают специалисты ESET.

В связи с распространением подобных угроз специалисты ESET рекомендуют придерживаться основных правил для защиты от ботнетов и использовать надежное решение по безопасности.

Подробная информация о ботнет Stantinko доступна по ссылке.