Ботнет Stantinko скрытно использует ресурсы зараженных ПК для майнинга
Компания Eset предупреждает (PDF) об обнаружении новых функциональных возможностей уже известного ботнета Stantinko. Теперь он способен осуществлять майнинг криптовалюты Monero на контролируемых устройствах. Группа киберпреступников Stantinko активна по меньшей мере с 2012 г. и в основном нацелена на пользователей России, Украины, Белоруссии и Казахстана. Стоит отметить, что под управлением операторов ботнета Stantinko оказалось примерно полмиллиона компьютеров.
«После многих лет мошеннических действий с кликами и показа рекламных объявлений, мошенничества в соцсетях и похищения данных, Stantinko начал осуществлять майнинг криптовалюты Monero. По меньшей мере с августа 2018 г. его операторы распространяют модуль для майнинга криптовалюты на компьютеры, которыми они управляют», – комментируют исследователи Eset.
Модуль Stantinko для майнинга криптовалюты, который продукты Eset обнаруживают как Win {32,64}/CoinMiner.Stantinko, является модифицированной версией криптомайнера с открытым кодом xmr-stak. Одной из особенностей этого модуля является использование методов запутывания кода для предотвращения анализа и избежания обнаружения.
Кроме методов запутывания кода, CoinMiner.Stantinko использует еще несколько интересных приемов. В частности, для скрытия связи модуль не соединяется непосредственно со своим майнинг-пулом, а использует для этого прокси, IP-адреса которых получены из текста видео на YouTube. Стоит отметить, что аналогичную технику скрытия данных в описаниях видео YouTube применял банковский троян Casbaneiro, который был недавно проанализирован исследователями Eset.
Для предотвращения выявления CoinMiner.Stantinko останавливает процесс майнинга криптовалюты, если ПК работает от батареи или в случае обнаружения диспетчера задач. Он также проверяет, работают ли на компьютере другие приложения для майнинга криптовалюты и приостанавливает их. Кроме этого, вредоносная программа также сканирует запущенные процессы, чтобы найти ПО по безопасности.