Stantinko Botnet
La botnet Stantinko è nota per essere attiva dal 2012. I cyber criminali dietro di essa sono in qualche modo riusciti a mantenere attiva questa botnet per sette anni, il che è piuttosto impressionante. Sembrerebbe che la maggior parte dei sistemi, che fanno parte della Stantinko Botnet, si trovano in paesi ex-sovietici - Russia, Ucraina, Bielorussia, Kazakistan, ecc. È stato stimato che la Stantinko Botnet sia composta da oltre 500.000 macchine compromesse . La maggior parte delle botnet viene utilizzata per attacchi DDoS (Distributed-Denial-of-Service). Tuttavia, ciò che è interessante riguardo alla botnet Stantinko è che, nonostante le sue grandi dimensioni, questa botnet non è ancora stata utilizzata per un attacco DDoS. Invece, gli operatori di Stantinko Botnet lo hanno utilizzato in varie altre campagne, tra cui e-mail di spam di massa, raccolta di dati sensibili, clic di annunci fasulli, frodi, ecc
Sommario
Stantinko Botnet è utilizzato per il mining di Monero
Di recente, gli operatori di Stantinko Botnet hanno scelto di aggiungere il mining di criptovaluta al loro elenco di attività. Stanno usando un minatore di criptovaluta creato grazie a un progetto open source che gli aggressori hanno leggermente modificato. La maggior parte delle minacce di questo tipo si basano su XMRig , ma gli operatori di Stantinko Botnet hanno invece scelto di modificare e utilizzare il progetto 'xmr-stak'. Il minatore utilizzato dalla Stantinko Botnet serve per estrarre la criptovaluta Monero. Gli operatori della Stantinko Botnet si sono assicurati di offuscare pesantemente il modulo di mining per rendere la dissezione molto più complessa.
Cattura gli indirizzi IP dalle descrizioni dei video di YouTube
Un altro trucco di offuscamento utilizzato dagli operatori di Stantinko Botnet è il metodo di comunicazione utilizzato nelle sue campagne. Invece di utilizzare un pool di mining fisso, i creatori di Stantinko Botnet hanno optato per afferrare gli indirizzi IP dalle descrizioni di vari video di YouTube che caricano sulla piattaforma. Naturalmente, gli indirizzi utilizzati da Stantinko Botnet non sono prontamente disponibili ma devono essere prima decodificati.
Tecniche di autoconservazione
Per garantire che il loro malware stia utilizzando tutta la potenza di elaborazione dell'host compromesso, gli autori di questa minaccia hanno incluso una funzionalità, in grado di rilevare qualsiasi altro minatore di criptovaluta che potrebbe essere presente sul sistema. Se viene rilevato un altro minatore, il malware utilizzato dai creatori di Stantinko Botnet lo terminerà. Sembrerebbe che anche gli operatori di Stantinko Botnet abbiano implementato una tecnica di autoconservazione nel loro modulo di crittografia. Il minatore è in grado di determinare se l'utente ha avviato Task Manager di Windows e, in tal caso, il modulo di mining cesserà la sua attività. Questo viene fatto per evitare di essere individuato dalla vittima, poiché sarà evidente che qualcosa non va quando l'utente vede quanta CPU viene utilizzata. Questo trucco intelligente rende molto più difficile individuare l'attività del minatore di criptovaluta e rende più probabile che la minaccia continui a funzionare per un periodo più lungo. Stantinko Botnet è anche in grado di individuare qualsiasi applicazione antimalware presente sul computer compromesso. Tuttavia, abbastanza interessante, non ci sono misure adottate per nascondere l'attività dannosa della minaccia anche se sull'host infetto è presente un software antivirus.
I loschi individui dietro la Stantinko Botnet stanno facendo un buon lavoro ampliando la loro rete e rimanendo attivi, anche dopo aver operato per sette anni. La botnet Stantinko ha un grande potenziale per causare seri problemi e, dopo essere stata attiva per così tanto tempo, è improbabile che i criminali che gestiscono questa botnet abbiano intenzione di interrompere l'attività in qualsiasi momento presto.
