Компания Eset предупреждает (PDF) об обнаружении новых функциональных возможностей уже известного ботнета Stantinko. Теперь он способен осуществлять майнинг криптовалюты Monero на контролируемых устройствах. Группа киберпреступников Stantinko активна по меньшей мере с 2012 г. и в основном нацелена на пользователей России, Украины, Белоруссии и Казахстана. Стоит отметить, что под управлением операторов ботнета Stantinko оказалось примерно полмиллиона компьютеров.
«После многих лет мошеннических действий с кликами и показа рекламных объявлений, мошенничества в соцсетях и похищения данных, Stantinko начал осуществлять майнинг криптовалюты Monero. По меньшей мере с августа 2018 г. его операторы распространяют модуль для майнинга криптовалюты на компьютеры, которыми они управляют», – комментируют исследователи Eset.
Модуль Stantinko для майнинга криптовалюты, который продукты Eset обнаруживают как Win {32,64}/CoinMiner.Stantinko, является модифицированной версией криптомайнера с открытым кодом xmr-stak. Одной из особенностей этого модуля является использование методов запутывания кода для предотвращения анализа и избежания обнаружения.
Кроме методов запутывания кода, CoinMiner.Stantinko использует еще несколько интересных приемов. В частности, для скрытия связи модуль не соединяется непосредственно со своим майнинг-пулом, а использует для этого прокси, IP-адреса которых получены из текста видео на YouTube. Стоит отметить, что аналогичную технику скрытия данных в описаниях видео YouTube применял банковский троян Casbaneiro, который был недавно проанализирован исследователями Eset.
Для предотвращения выявления CoinMiner.Stantinko останавливает процесс майнинга криптовалюты, если ПК работает от батареи или в случае обнаружения диспетчера задач. Он также проверяет, работают ли на компьютере другие приложения для майнинга криптовалюты и приостанавливает их. Кроме этого, вредоносная программа также сканирует запущенные процессы, чтобы найти ПО по безопасности.