ESET обнаружила модуль для майнинга криптовалюты Monero в ботнете Stantinko
ESET предупреждает об обнаружении новых функциональных возможностей уже известного ботнета Stantinko. Теперь угроза способна осуществлять майнинг криптовалюты Monero на контролируемых устройствах. Группа киберпреступников Stantinko активна по меньшей мере с 2012 года. Стоит отметить, что под управлением операторов ботнета Stantinko оказалось примерно полмиллиона компьютеров.
«После многих лет мошеннических действий с кликами и показа рекламных объявлений, мошенничества в соцсетях и похищения данных, Stantinko начал осуществлять майнинг криптовалюты Monero. По меньшей мере с августа 2018 года его операторы распространяют модуль для майнинга криптовалюты на компьютеры, которыми они управляют», — комментируют исследователи ESET.
Модуль для майнинга криптовалюты: особенности заражения устройств
Модуль Stantinko для майнинга криптовалюты, который продукты ESET обнаруживают как Win {32,64}/CoinMiner.Stantinko, является модифицированной версией криптомайнера с открытым кодом xmr-stak. Одной из особенностей этого модуля является использование методов запутывания кода для предотвращения анализа и избежания обнаружения. «Благодаря использованию методов запутывания кода и компиляции модуля Stantinko для каждой новой жертвы каждый образец модуля является уникальным»,— комментируют специалисты ESET.
Кроме использования методов запутывания кода, CoinMiner.Stantinko использует еще несколько интересных приемов. В частности, для скрытия связи модуль не соединяется непосредственно со своим майнинг-пулом, а использует для этого прокси, IP-адреса которых получены из текста видео на YouTube. Стоит отметить, что аналогичную технику скрытия данных в описаниях видео YouTube применял банковский троян Casbaneiro, который был недавно проанализирован исследователями ESET.
«Мы сообщили YouTube об этом случае, и все каналы с этими видео были удалены», — комментируют специалисты ESET.
Для предотвращения выявления CoinMiner.Stantinko останавливает процесс майнинга криптовалюты, если ПК работает от батареи или в случае обнаружения диспетчера задач. Он также проверяет, работают ли на компьютере другие приложения для майнинга криптовалюты и приостанавливает их. Кроме этого, вредоносная программа также сканирует запущенные процессы, чтобы найти программное обеспечение по безопасности.
«Хотя CoinMiner.Stantinko не считают опасной вредоносной программой, однако в любой момент киберпреступники могут заражать устройства пользователей другим вредоносным программным обеспечением», — предупреждают специалисты ESET.
В связи с распространением подобных угроз специалисты ESET рекомендуют придерживаться основных правил для защиты от ботнетов и использовать надежное решение по безопасности.