Стантинко Ботнет
Ботнет Stantinko, как известно, действует с 2012 года. Кибер-мошенникам, которые стоят за ним, каким-то образом удалось сохранить этот ботнет активным в течение семи лет, что весьма впечатляет. По-видимому, большинство систем, входящих в ботнет Stantinko, расположены в странах бывшего СССР - России, Украине, Беларуси, Казахстане и т. Д. По оценкам, ботнет Stantinko состоит из более чем 500 000 скомпрометированных машин. , Большинство ботнетов используются для атак DDoS (Distributed-Denial-of-Service). Однако, что интересно в ботнете Stantinko, так это то, что, несмотря на его большой размер, этот ботнет еще не используется для DDoS-атаки. Вместо этого операторы ботнета Stantinko использовали его в различных других кампаниях, включая массовую рассылку спама, сбор конфиденциальных данных, фальшивые рекламные клики, мошенничество и т. Д.
Оглавление
Ботнет Stantinko используется для майнинга Monero
Недавно операторы ботнета Stantinko решили добавить майнинг криптовалюты в свой список задач. Они используют майнер криптовалюты, созданный благодаря проекту с открытым исходным кодом, который злоумышленники немного изменили. Большинство угроз такого типа основаны на XMRig , но операторы ботнета Stantinko вместо этого решили изменить и использовать проект 'xmr-stak'. Майнер, используемый ботнетом Stantinko, используется для майнинга криптовалюты Monero. Операторы ботнета Stantinko позаботились о том, чтобы сильно запутать модуль майнинга, чтобы сделать его анализ более сложным.
Получает IP-адреса из описания видео YouTube
Еще одна уловка запутывания, используемая операторами ботнета Stantinko, - это метод связи, используемый в его кампаниях. Вместо использования фиксированного пула майнинга создатели ботнета Stantinko решили извлечь IP-адреса из описаний различных видео YouTube, которые они загружают на платформу. Конечно, адреса, которые использует ботнет Stantinko, не всегда доступны, но их нужно сначала декодировать.
Методы самосохранения
Чтобы гарантировать, что их вредоносная программа использует все вычислительные мощности скомпрометированного хоста, авторы этой угрозы включили функцию, которая способна обнаруживать любой другой майнер криптовалюты, который может присутствовать в системе. Если обнаружен другой майнер, вредоносное ПО, используемое создателями ботнета Stantinko, прекратит его. Похоже, что операторы ботнета Stantinko также внедрили технику самосохранения в свой модуль криптоминирования. Майнер способен определить, запустил ли пользователь диспетчер задач Windows, и если он есть, модуль майнинга прекратит свою деятельность. Это сделано для того, чтобы жертва не была замечена жертвой, поскольку будет очевидно, что что-то не так, когда пользователь видит, сколько ЦП используется. Этот хитрый трюк делает обнаружение активности майнера криптовалют гораздо труднее обнаружить и повышает вероятность того, что угроза продолжит действовать в течение более длительного периода. Ботнет Stantinko также может обнаружить любое антивирусное приложение, которое может присутствовать на взломанной машине. Тем не менее, что интересно, никаких мер, принимаемых для сокрытия вредоносной активности угрозы, даже если на зараженном хосте установлено антивирусное программное обеспечение
Темные люди, стоящие за ботнетом Stantinko, делают хорошую работу, расширяя свою сеть и оставаясь активными, даже после семи лет работы. Ботнет Stantinko имеет большой потенциал, чтобы вызвать серьезные проблемы, и после столь долгой активности маловероятно, что преступники, использующие этот ботнет, намерены прекратить деятельность в ближайшее время.
