ESET виявила модуль для майнінгу криптовалюти Monero у ботнеті Stantinko
ESET виявила модуль для майнінгу криптовалюти Monero у ботнеті Stantinko
ESET попереджає про виявлення нових функціональних можливостей вже відомого ботнета Stantinko. Тепер загроза здатна здійснювати майнінг криптовалют Monero на контрольованих пристроях. Група кіберзлочинців Stantinko активна щонайменше з 2012 року. Варто зазначити, що під управлінням операторів ботнету Stantinko виявилося приблизно півмільйона комп'ютерів.
«Після багатьох років шахрайських дій з кліками та показу рекламних оголошень, шахрайства в соцмережах та викрадення даних, Stantinko почав здійснювати майнінг криптовалюти Monero. Щонайменше з серпня 2018 року його оператори поширюють модуль для майнінгу криптовалюти на комп'ютери, якими вони керують», — коментують дослідники ESET.
Модуль для майнінгу криптовалюти: особливості зараження пристроїв
Модуль Stantinko для майнінгу криптовалюти, який продукти ESET виявляють як Win {32,64}/CoinMiner.Stantinko, є модифікованою версією криптомайнера з відкритим кодом xmr-stak. Однією з особливостей цього модуля є використання методів заплутування коду для запобігання аналізу та уникнення виявлення. «Завдяки використанню методів заплутування коду та компіляції модуля Stantinko для кожної нової жертви кожен зразок модуля є унікальним»,— коментують фахівці ESET.
Крім використання методів заплутування коду CoinMiner.Stantinko використовує ще кілька цікавих прийомів. Зокрема, для приховування зв'язку модуль не з'єднується безпосередньо зі своїм майнінг-пулом, а використовує для цього проксі, IP-адреси яких отримані з тексту відео на YouTube. Варто зазначити, що аналогічну техніку приховування даних в описах відео YouTube застосовував банківський троян Casbaneiro, який був нещодавно проаналізований дослідниками ESET.
«Ми повідомили YouTube про цей випадок, і всі канали з цими відео були видалені», — коментують фахівці ESET.
Для запобігання виявлення CoinMiner.Stantinko зупиняє процес майнінгу криптовалюти, якщо ПК працює від батареї або у разі виявлення диспетчера завдань. Він також перевіряє, чи працюють на комп'ютері інші програми для майнінгу криптовалюти та зупиняє їх. Крім цього, шкідлива програма також сканує запущені процеси, щоб знайти програмне забезпечення безпеки.
«Хоча CoinMiner.Stantinko не вважають небезпечною шкідливою програмою, однак у будь-який момент кіберзлочинці можуть заражати пристрої користувачів іншим шкідливим програмним забезпеченням», — попереджають фахівці ESET.
У зв'язку з поширенням подібних загроз фахівці ESET рекомендують дотримуватися основних правил для захисту від ботнетів і використовувати надійне безпекове рішення.
.jpg)
