Stantinko: прихована шкідлива програма атакує користувачів з 2012 року

Компанія ESET — лідер у галузі проактивного виявлення — повідомляє про виявлення складної загрози Stantinko, жертвами якої вже стали близько півмільйона користувачів.

Прихована шкідлива програма заманює користувачів завантажувати піратське програмне забезпечення з підроблених торрент-сайтів і постійно змінюється, уникаючи виявлення протягом останніх п'яти років. Перша кампанія поширення програми тривала три роки, а основними цілями кіберзлочинців тоді стали користувачі Росії, України, Білорусі та Казахстану. Відповідно до даних телеметрії ЕSET, ті ж самі країни лідирують за кількістю інфікувань і станом на квітень 2017 року.

Рівень поширення Stantinko
під час першої кампанії у 2012-2015 роках
Рівень поширення Stantinko
під час поточної кампанії (з 2015 року і до сьогодні)

Націлюючись переважно на російськомовних користувачів, мережа ботів Stantinko встановлює розширення браузера на комп’ютер жертви та отримує прибуток від показу оголошень під час перегляду веб-сторінок. Після встановлення на комп’ютері жертви загроза також може анонімно запускати пошук Google та створювати фальшиві облікові записи Facebook з можливістю ставити вподобання зображенням та сторінкам у соціальній мережі, а також додавати друзів. Уникає виявлення Stantinko завдяки заплутуванню і приховуванню шкідливого коду. За допомогою передових технологій шкідливий код прихований або зашифрований у файлі або в реєстрі Windows. Згодом він розшифровується за допомогою ключа, створеного на початку інфікування. Шкідливу поведінку програми неможливо виявити, поки загроза не отримає нові компоненти з командного сервера.

Після інфікування комп’ютера Stantinko встановлює дві шкідливі служби в операційну систему Windows, які завантажуються кожного разу під час запуску системи. «Служба кожного компоненту має можливість здійснювати повторну інсталяцію у разі видалення одної з них із системи. Тому щоб повністю усунути проблему, користувач повинен одночасно видалити обидві служби з комп’ютера», — пояснюють дослідники ESET.

Потрапляючи на пристрій жертви, Stantinko інсталює два плагіна браузера, доступні у веб-магазині Google Chrome,— «The Safe Surfing» та «Teddy Protection». «Обидва плагіна були доступні в Інтернеті під час нашого аналізу», — розповідають дослідники ESET. — На перший погляд, вони виглядають як легітимні розширення браузера та навіть мають веб-сайт. Однак після інсталяції Stantinko розширення отримують іншу конфігурацію, яка містить правила для виконання шахрайських дій з кліками та показ оголошень».

Після проникнення шкідливої програми в систему оператори Stantinko можуть використовувати гнучкі плагіни для подальших дій в інфікованій системі. Зокрема кіберзлочинці мають змогу проводити масові анонімні пошуки сайтів Joomla та WordPress та виконувати атаки на ці сайти методом підбору ключів, знаходячи та викрадаючи дані, а також створювати фальшиві облікові записи в соціальній мережі Facebook.

Програма Stantinko може бути дуже прибутковою, оскільки фальсифікації кліків є основним джерелом доходів хакерів. Дослідження, проведені компанією WhiteOps та Асоціацією національних рекламодавців у США, свідчать, що шахрайство з кліками обійдеться підприємствам у $6,5 млрд лише за цей рік.

У свою чергу, інформація про сайти, які стали жертвами атаки методом підбору ключів Stantinko, може бути продана на «чорному» ринку. Незважаючи на те, що дослідники ESET не зафіксували активність програми у соціальній мережі, оператори Stantinko також мають інструмент для здійснення шахрайства у соціальній мережі Facebook, продаючи «вподобання» незаконно залучених користувачів.

Крім цього, плагіни «Safe Surfing» та «Teddy Protection» можуть показувати рекламу або перенаправляти користувача на інші сайти. «Це дозволяє операторам Stantinko отримувати гроші за трафік, який вони надають цим оголошенням. Спеціалісти також виявили, що користувачі можуть перейти безпосередньо на веб-сайт рекламодавця через оголошення Stantinko», — стверджують дослідники ESET.

Більш детальну інформацію можна знайти за посиланням.