Перейти к публикации

INFO

специалисты обнаружили ботнет stantinko, существующий 5 лет

Рекомендованные сообщения


Исследователи компании ESET обнаружили ботнет Stantinko, который специализируется на рекламном мошенничестве. По данным аналитиков, в настоящее время этой малварью заражено около 500 000 компьютеров, и большинство жертв находятся на территории России (46%) и Украины (33%).

Stantinko – сложная комплексная угроза, активная как минимум с 2012 года. Исследователи пишут, что малварь представляет собой модульный троян с функциональностью бэкдора, а шифрование кода и механизмы самозащиты позволили операторам Stantinko оставаться незамеченными на протяжении пяти лет.Хотя Stantinko ведет себя как ничем не примечательная adware, исследователи отмечают, что по сложности код вредоноса сопоставим с инструментами APT группировок и профессиональных правительственных хакеров. По сути, малварь демонстрирует комплексный механизм заражения, имеет надежный механизм, гарантирующий присутствие в системе, а также обладает рядом плагинов, которые позволяют «выполнить на зараженном хосте что угодно».
Тем не менее, главная цель Stantinko – финансовая выгода. Операторы вредоноса предлагают свои услуги на очень прибыльном рынке – обеспечивают ложные переходы по рекламным ссылкам (кликфрод). По оценкам White Ops и Национальной ассоциации рекламодателей (США), мировые издержки от кликфрода в 2017 году достигнут 6,5 млрд долларов.

Для распространения Stantinko маскируется под пиратское ПО, а также нередко распространяется через торренты. Операторы малвари применяют загрузчик семейства FileTour и интересный трюк для отвлечения внимания пользователя. Так, загрузчик устанавливает сразу ряд программ, отвлекая этим внимание пользователя от загрузки компонентов Stantinko, которая производится в фоновом режиме.

Далее Stantinko устанавливает два расширения браузера (The Safe Surfing и Teddy Protection) для несанкционированного показа рекламы, который приносит доход операторам. На момент исследования расширения были доступны в Chrome Web Store. Они выглядят как легитимные, но в рамках кампании Stantinko получают иную конфигурацию, предназначенную для кликфрода и показа рекламы. Как выглядит заражение, можно увидеть в ролике ниже. Второй ролик демонстрирует работу Stantinko и переадресацию трафика на сайт Rambler.
Аналитики отмечают, что основная опасность Stantinko заключается в том, что его возможности не ограничиваются одной только генерацией трафика. Вредоносная программа позволяет операторам выполнять в зараженной системе широкий спектр действий:

• от поиска до кражи данных (полнофункциональный бэкдор).

• распределенный поиск в Google сайтов на Joomla и WordPress.

• взлом панелей управления сайтов путем перебора паролей (для последующей перепродажи).

• мошенничество в Facebook: создание поддельных аккаунтов, лайки на страницах и фото, пополнение списка друзей (исследователи ESET пока не наблюдали вредоносной активности в социальной сети).

Присутствие Stantinko в системе незаметно для пользователя, так как угроза не препятствует работе компьютера. Более того, малварь успешно обходит антивирусы и всячески противодействие реверс-инжинирингу, определяющему вредоносное поведение. Исследователи предупреждают, что при этом полнофункциональный бэкдор открывает перед злоумышленниками широкие возможности для слежки за зараженными машинами

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×
×
  • Создать...