Stantinko Botnet
A Stantinko botnetről ismert, hogy 2012 óta aktív. A mögötte levő számítógépes csalóknak valahogy sikerült ezt a botnetot hét évig aktív állapotban tartani, ami meglehetősen lenyűgöző. Úgy tűnik, hogy a Stantinko Botnet részét képező rendszerek többsége szovjet országokban található - Oroszországban, Ukrajnában, Fehéroroszországban, Kazahsztánban stb. - A becslések szerint a Stantinko Botnet több mint 500 000 veszélyeztetett gépet tartalmaz. . A legtöbb botnetet DDoS (Distributed-Denial-of-Service) támadásokhoz használják. Ami a Stantinko Botnet kapcsán érdekes, az a nagy méret ellenére még nem használható DDoS támadáshoz. Ehelyett a Stantinko Botnet szolgáltatói különféle egyéb kampányokban használták fel, beleértve a tömeges spam e-maileket, az érzékeny adatok gyűjtését, a hamis hirdetési kattintásokat, a csalásokat stb.
Tartalomjegyzék
A Stantinko botnet a Monero bányászatához használják
A közelmúltban a Stantinko Botnet operátorai úgy döntöttek, hogy kriptovaluta bányászatot adnak a feladataik listájához. Cryptocurrency bányászatot használnak, amelyet egy nyílt forráskódú projektnek köszönhetően építettek, amelyet a támadók kissé megváltoztak. A legtöbb ilyen típusú fenyegetés az XMRig- en alapszik , de a Stantinko Botnet operátorai inkább az 'xmr-stak' projekt módosítását és használatát választották. A Stantinko Botnet által használt bányász arra szolgál, hogy a Monero kriptovalutát bányítsa meg. A Stantinko Botnet üzemeltetői meggyőződtek arról, hogy a bányászati modult erősen eltakarják, hogy a bontás sokkal összetettebbé váljon.
Megragadja az IP-címeket a YouTube videóleírásokból
A Stantinko Botnet szolgáltatói által használt másik zavaró trükk a kampányaiban használt kommunikációs módszer. A rögzített bányászati medence használata helyett a Stantinko Botnet alkotói úgy döntöttek, hogy megragadják az IP-címeket a különféle YouTube-videókról, amelyeket a platformon feltöltenek. A Stantinko Botnet által használt címek természetesen nem állnak rendelkezésre, de előbb dekódolni kell.
Önmegőrzési technikák
Annak biztosítása érdekében, hogy rosszindulatú programjaik felhasználják a veszélyeztetett gazdagép minden számítási teljesítményét, a fenyegetés szerzői beépítettek egy olyan funkciót, amely képes bármilyen más kriptováltozó-bányász észlelésére, amely a rendszerben jelen lehet. Ha további bányászat észlelnek, a Stantinko Botnet készítői által használt rosszindulatú program megszünteti azt. Úgy tűnik, hogy a Stantinko Botnet operátorai egy önmegőrzési technikát is bevezettek a kriptoprinter moduljába. A bányász képes meghatározni, hogy a felhasználó elindította-e a Windows Feladatkezelőt, és ha van, akkor a bányászati modul leállítja tevékenységét. Ennek célja, hogy elkerülje az áldozat észlelését, mivel nyilvánvaló lesz, hogy valami nincs rendben, amikor a felhasználó látja, hogy mennyi CPU-t használ. Ez az okos trükk sokkal nehezebb észrevenni a kriptovállalati bányász tevékenységét, és valószínűbbé teszi a fenyegetés hosszabb ideig történő működését. A Stantinko Botnet képes észlelni minden olyan rosszindulatú programot is, amely jelen lehet a sérült számítógépen. Ugyanakkor érdekes módon nem hoztak intézkedéseket a fenyegetés káros tevékenységeinek elrejtésére, még akkor sem, ha a fertőzött gazdagépen van víruskereső szoftver.
A Stantinko Botnet mögött lévõ árnyékos egyének jó munkát végeznek hálózatának kiterjesztésében és aktív maradásában, még hét év mûködtetése után is. A Stantinko Botnetnek komoly problémákat okozhat, és miután ilyen hosszú ideig aktív volt, nem valószínű, hogy ezt a botnet működtető bűnözők szándékában áll bármikor hamarosan abbahagyni a tevékenységeket.
