Специалисты обнаружили ботнет Stantinko, существующий 5 лет и заразивший 500 000 устройств

Исследователи компании ESET обнаружили ботнет Stantinko, который специализируется на рекламном мошенничестве. По данным аналитиков, в настоящее время этой малварью заражено около 500 000 компьютеров, и большинство жертв находятся на территории России (46%) и Украины (33%).

Stantinko – сложная комплексная угроза, активная как минимум с 2012 года. Исследователи пишут, что малварь представляет собой модульный троян с функциональностью бэкдора, а шифрование кода и механизмы самозащиты позволили операторам Stantinko оставаться незамеченными на протяжении пяти лет.

Хотя Stantinko ведет себя как ничем не примечательная adware, исследователи отмечают, что по сложности код вредоноса сопоставим с инструментами APT группировок и профессиональных правительственных хакеров. По сути, малварь демонстрирует комплексный механизм заражения, имеет надежный механизм, гарантирующий присутствие в системе, а также обладает рядом плагинов, которые позволяют «выполнить на зараженном хосте что угодно».

Тем не менее, главная цель Stantinko – финансовая выгода. Операторы вредоноса предлагают свои услуги на очень прибыльном рынке – обеспечивают ложные переходы по рекламным ссылкам (кликфрод). По оценкам White Ops и Национальной ассоциации рекламодателей (США), мировые издержки от кликфрода в 2017 году достигнут 6,5 млрд долларов.

Для распространения Stantinko маскируется под пиратское ПО, а также нередко распространяется через торренты. Операторы малвари применяют загрузчик семейства FileTour и интересный трюк для отвлечения внимания пользователя. Так, загрузчик устанавливает сразу ряд программ, отвлекая этим внимание пользователя от загрузки компонентов Stantinko, которая производится в фоновом режиме.

Далее Stantinko устанавливает два расширения браузера (The Safe Surfing и Teddy Protection) для несанкционированного показа рекламы, который приносит доход операторам. На момент исследования расширения были доступны в Chrome Web Store. Они выглядят как легитимные, но в рамках кампании Stantinko получают иную конфигурацию, предназначенную для кликфрода и показа рекламы. Как выглядит заражение, можно увидеть в ролике ниже. Второй ролик демонстрирует работу Stantinko и переадресацию трафика на сайт Rambler.

Аналитики отмечают, что основная опасность Stantinko заключается в том, что его возможности не ограничиваются одной только генерацией трафика. Вредоносная программа позволяет операторам выполнять в зараженной системе широкий спектр действий:

• от поиска до кражи данных (полнофункциональный бэкдор);
• распределенный поиск в Google сайтов на Joomla и WordPress;
• взлом панелей управления сайтов путем перебора паролей (для последующей перепродажи);
• мошенничество в Facebook: создание поддельных аккаунтов, лайки на страницах и фото, пополнение списка друзей (исследователи ESET пока не наблюдали вредоносной активности в социальной сети).

Присутствие Stantinko в системе незаметно для пользователя, так как угроза не препятствует работе компьютера. Более того, малварь успешно обходит антивирусы и всячески противодействие реверс-инжинирингу, определяющему вредоносное поведение. Исследователи предупреждают, что при этом полнофункциональный бэкдор открывает перед злоумышленниками широкие возможности для слежки за зараженными машинами.

С полной версией отчета специалистов ESET, начитывающего целых 99 страниц, можно ознакомиться здесь (PDF).

3 комментария

Il

22.07.2017 at 00:39

Отличная статья, спасибо за подробный обзор малвари.

Azim_D3Tm

22.07.2017 at 16:12

А касперский её уже видит?

Mr-r00t

22.07.2017 at 19:49

5 лет скрывалась от обнаружения, делайте выводы. На самом деле любое обнаружение фиксистся в течении 10, максимум 20 минут.