Botnet Stantinko
Botnet Stantinko jest znany od 2012 roku. Cyberprzestępcom udało się utrzymać ten botnet przez siedem lat, co jest dość imponujące. Wydaje się, że większość systemów wchodzących w skład botnetu Stantinko znajduje się w krajach byłego Związku Radzieckiego - w Rosji, na Ukrainie, Białorusi, w Kazachstanie itp. Szacuje się, że botnet Stantinko składa się z ponad 500 000 zainfekowanych maszyn . Większość botnetów jest wykorzystywana do ataków DDoS (Distributed-Denial-of-Service). Jednak interesujące w botnecie Stantinko jest to, że pomimo jego dużego rozmiaru, ten botnet nie jest jeszcze wykorzystywany do ataku DDoS. Zamiast tego operatorzy botnetu Stantinko używali go w różnych innych kampaniach, w tym w masowych wiadomościach spamowych, zbierając poufne dane, fałszywe kliknięcia reklam, oszustwa itp.
Spis treści
Botnet Stantinko służy do wydobywania Monero
Ostatnio operatorzy botnetu Stantinko zdecydowali się dodać kopanie kryptowaluty do swojej listy zadań. Używają eksploratora kryptowalut, który został zbudowany dzięki projektowi typu open source, który został nieco zmieniony przez atakujących. Większość tego typu zagrożeń opiera się na XMRig , ale operatorzy botnetu Stantinko postanowili zmodyfikować i wykorzystać projekt „xmr-stak". Górnik wykorzystywany przez botnet Stantinko służy do wydobywania kryptowaluty Monero. Operatorzy botnetu Stantinko bardzo mocno zaciemnili moduł wydobywczy, aby uczynić jego sekcję znacznie bardziej skomplikowaną.
Pobiera adresy IP z opisów filmów na YouTube
Kolejną sztuczką zaciemniającą stosowaną przez operatorów botnetu Stantinko jest metoda komunikacji stosowana w jego kampaniach. Zamiast korzystać ze stałej puli wydobywczej twórcy botnetu Stantinko zdecydowali się pobrać adresy IP z opisów różnych filmów z YouTube, które przesyłają na platformę. Oczywiście adresy, których używa botnet Stantinko, nie są łatwo dostępne, ale najpierw muszą zostać zdekodowane.
Techniki samozachowawcze
Aby upewnić się, że ich złośliwe oprogramowanie wykorzystuje całą moc obliczeniową zainfekowanego hosta, autorzy tego zagrożenia zawarli funkcję, która jest w stanie wykryć każdy inny górnik kryptowaluty, który może być obecny w systemie. Jeśli zostanie wykryty inny górnik, złośliwe oprogramowanie wykorzystywane przez twórców botnetu Stantinko zakończy je. Wygląda na to, że operatorzy botnetu Stantinko również wdrożyli technikę samozachowawczą w swoim module kryptominy. Górnik jest w stanie ustalić, czy użytkownik uruchomił Menedżera zadań systemu Windows, a jeśli tak, moduł wyszukiwania przestanie działać. Ma to na celu uniknięcie wykrycia przez ofiarę, ponieważ będzie oczywiste, że coś jest nie tak, gdy użytkownik zobaczy, ile procesora jest używane. Ta sprytna sztuczka sprawia, że wykrywanie aktywności górnika kryptowaluty jest znacznie trudniejsze do wykrycia i zwiększa prawdopodobieństwo, że zagrożenie będzie kontynuowane przez dłuższy okres. Botnet Stantinko jest także w stanie wykryć każdą aplikację anty-malware, która może być obecna na zaatakowanym komputerze. Co ciekawe, nie podjęto żadnych działań w celu ukrycia szkodliwej aktywności zagrożenia, nawet jeśli na zainfekowanym hoście znajduje się oprogramowanie antywirusowe.
Podstępne osoby stojące za botnetem Stantinko wykonują dobrą robotę, rozszerzając swoją sieć i pozostając aktywnymi, nawet po siedmiu latach działalności. Botnet Stantinko ma ogromny potencjał, by powodować poważne problemy, a po tak długim okresie działania mało prawdopodobne jest, aby przestępcy obsługujący ten botnet mieli zamiar zaprzestać działalności w najbliższym czasie.
