Исследователи компании ESET обнаружили ботнет Stantinko, который специализируется на рекламном мошенничестве. По данным аналитиков, в настоящее время этой малварью заражено около 500 000 компьютеров, и большинство жертв находятся на территории России (46%) и Украины (33%).

Stantinko – сложная комплексная угроза, активная как минимум с 2012 года. Исследователи пишут, что малварь представляет собой модульный троян с функциональностью бэкдора, а шифрование кода и механизмы самозащиты позволили операторам Stantinko оставаться незамеченными на протяжении пяти лет.

Хотя Stantinko ведет себя как ничем не примечательная adware, исследователи отмечают, что по сложности код вредоноса сопоставим с инструментами APT группировок и профессиональных правительственных хакеров. По сути, малварь демонстрирует комплексный механизм заражения, имеет надежный механизм, гарантирующий присутствие в системе, а также обладает рядом плагинов, которые позволяют «выполнить на зараженном хосте что угодно».

Полная схема работы Stantinko

Тем не менее, главная цель Stantinko – финансовая выгода. Операторы вредоноса предлагают свои услуги на очень прибыльном рынке – обеспечивают ложные переходы по рекламным ссылкам (кликфрод). По оценкам White Ops и Национальной ассоциации рекламодателей (США), мировые издержки от кликфрода в 2017 году достигнут 6,5 млрд долларов.

Для распространения Stantinko маскируется под пиратское ПО, а также нередко распространяется через торренты. Операторы малвари применяют загрузчик семейства FileTour и интересный трюк для отвлечения внимания пользователя. Так, загрузчик устанавливает сразу ряд программ, отвлекая этим внимание пользователя от загрузки компонентов Stantinko, которая производится в фоновом режиме.

Teddy Protection в Chrome Web Store

Далее Stantinko устанавливает два расширения браузера (The Safe Surfing и Teddy Protection) для несанкционированного показа рекламы, который приносит доход операторам. На момент исследования расширения были доступны в Chrome Web Store. Они выглядят как легитимные, но в рамках кампании Stantinko получают иную конфигурацию, предназначенную для кликфрода и показа рекламы. Как выглядит заражение, можно увидеть в ролике ниже. Второй ролик демонстрирует работу Stantinko и переадресацию трафика на сайт Rambler.

Аналитики отмечают, что основная опасность Stantinko заключается в том, что его возможности не ограничиваются одной только генерацией трафика. Вредоносная программа позволяет операторам выполнять в зараженной системе широкий спектр действий:

  • от поиска до кражи данных (полнофункциональный бэкдор);
  • распределенный поиск в Google сайтов на Joomla и WordPress;
  • взлом панелей управления сайтов путем перебора паролей (для последующей перепродажи);
  • мошенничество в Facebook: создание поддельных аккаунтов, лайки на страницах и фото, пополнение списка друзей (исследователи ESET пока не наблюдали вредоносной активности в социальной сети).

Присутствие Stantinko в системе незаметно для пользователя, так как угроза не препятствует работе компьютера. Более того, малварь успешно обходит антивирусы и всячески противодействие реверс-инжинирингу, определяющему вредоносное поведение. Исследователи предупреждают, что при этом полнофункциональный бэкдор открывает перед злоумышленниками широкие возможности для слежки за зараженными машинами.

С полной версией отчета специалистов ESET, начитывающего целых 99 страниц, можно ознакомиться здесь (PDF).

16 комментариев

  1. Themistocles

    22.07.2017 at 00:39

    Отличная статья, спасибо за подробный обзор малвари.

  2. Azim_D3Tm

    22.07.2017 at 16:12

    А касперский её уже видит?

  3. Mr-r00t

    22.07.2017 at 19:49

    5 лет скрывалась от обнаружения, делайте выводы. На самом деле любое обнаружение фиксистся в течении 10, максимум 20 минут.

  4. dicto

    22.07.2017 at 23:16

    И как его вылечить, или хотя бы узнать, заражён ли мой компьютер этой штукой?

    • john_

      25.07.2017 at 15:25

      Очень сложно незаметить «случайные» редиректы на какие то сайты. Смотри процессы, если сомневаешься. Загляни в самые популярные места обитания малвари: автозапуск и менеджер задач.

  5. Gel1k

    22.07.2017 at 23:46

    Mr-r00t абсолютно с вами согласен. Более того, есть ярчайший пример дырявой игры из этой же серии — Counter Strike 1.6, там можно залить файлы игроку чуть ли не всех форматов и даже внести изменения в реестр. Будь то cmd, exe, bat, dll или что-нибудь другое. чаще всего используется загрузка помощью md5 или motd_write. Сам напаролся на это как раз буквально неделю назад — скачал кс 1.6 (нужно было для разработки одного из сайтов посмотреть протокол игры), зашел на какой то сервер и схватил подмену конфига и изменение файлов отвечающих за мастерсервер в клиенте. Начал разбираться — самый актуальный способ на данный момент — использование сборок с протекторами от умельцев, типа такой https://csmaxi.ru/sborka-cs16-russkaya-versiya и самое главное, я конечно попробовал стим версию. И меня поразило то, что там тоже файлы легко загружаются! Вдумайтесь, cs 1.6 — это игра мохнатых годов, по-моему в 2000 была выпущена, и за 17 лет все дыры не удалось залатать чтоли? Такое бессовестное отношение Steam (valve в частности) к своим клиентам меня конечно удручает…

    • john_

      25.07.2017 at 15:21

      О какой дыре идёт речь? Изменение конфига или загрузка файлов? Второе это фича. А первое меня тоже очень бесило в своё время. Самое верное решение — не играть в сетевые игры на кастомных сервак, собранных на калёнее. Несколько дней назад др показывались как просто заразить машину с помощью анимации смерти.

      • john_

        25.07.2017 at 15:22

        Ps меня раздражает корректировка на iOS.😡

      • Gel1k

        25.07.2017 at 15:28

        Ну как фича… когда тебе заливают bat файл, который стучится в интернет, скачивает мусор, меняет че тов реестре и т п.. Это не фича, это уже стремно 🙂 Такого быть не должно. И не играть в сетевые игры это не решение, а скорее уход от проблемы)
        По поводу кастомных серверов.. м… ну в кс 1.6 других не бывает) Да и как ты определишь что за сервере не зайдя на него, по одному лишь названию? 🙂

        • john_

          25.07.2017 at 15:32

          *Не играть на неофициальных*
          Ну как сейчас определяется? 😂 тыкаешь в главном меню на большую кнопку ИГРАТЬ и все. Он сам найдёт ближайший сервер и подключится:)
          Не уверен что в tf2 или cs:go сейчас решили эту проблему — с подгрузкой любого мусора с кастомного сервака.

          • Gel1k

            25.07.2017 at 15:36

            Вы наверно плохо знакомы с cs 1.6 )) там нет неофициальных серверов) любой сервер открытый любым юзером априори «официальный» на этом и держится онлайн игра. Как и в любой другой игре. Быть может вам будет проще понять на примере доты? Человек создает карту (тем самым открывает сервер) и народ туда заходит)) примерно так же в Counter Strike 1.6. Тут реально откровенная дыра самого valve, который не исправляет эти дыры.

            • john_

              25.07.2017 at 16:54

              В дота и кс:го так же? Насколько я понимаю, сервера для игр как кс:го, дота2, тф2 держит велв собственной персоной. А в поиске можно найти любительские. Разве нет? 🙈

            • john_

              25.07.2017 at 16:56

              В конце концов никто не просит выключать антивирусы:)

            • john_

              25.07.2017 at 16:58

              Велве давно срать на такую мелочь. Они не занимаются играми. Весь контент пилит сообщество. А потом люди тратят деньги на ключи и открывание ящиков. Наслаждайся жизнью и проводи турниры.

              • Gel1k

                25.07.2017 at 18:50

                дота2 (именно второй версии, т.к. первая на стим никак не была завязана) — немного иначе, но принцип похож. что касается КС 1.6 и кс гоу, то валв не держит сервера. Он предоставляет платформу (в виде приложения hlds) для того, чтобы юзер мог запустить свой сервер. Эти сервера отображаются в едином общем списке стима, либо в нон-стим версии обращения идут на заданный в клиенте адрес (обращаются к мастерсерверу). В общем не суть. По поводу того что валву плевать на такие проблемы стало давно понятно, тут с вами не поспоришь 🙂

Оставить мнение