В 2017 году эксперты ESET сообщили об обнаружении ботнета Stantinko, который тогда специализировался на рекламном мошенничестве. Уже на тот момент этой малварью было заражено около 500 000 компьютеров, и большинство жертв находились на территории России (46%) и Украины (33%).

Исследователи сразу охарактеризовали Stantinko как сложную и комплексную угроза, активную как минимум с 2012 года. Малварь представляет собой модульный троян с функциональностью бэкдора, а шифрование кода и механизмы самозащиты позволяли операторам Stantinko оставаться незамеченными на протяжении многих лет.

Теперь же специалисты ESET сообщают, что по-прежнему активный Stantinko обзавелся модулем для майнинга криптовалюты Monero, и CoinMiner.Stantinko стал еще одним способом заработка для операторов ботнета.

Главная отличительная черта вредоноса заключается в способности тщательно скрываться от обнаружения за счет того, что операторы Stantinko компилируют уникальный модуль для каждой новой жертвы. Кроме того, основанный на опенсорсном майнере xmr-stak CoinMiner.Stantinko связывается с майнинг-пулом не напрямую, а через прокси-серверы, чьи IP-адреса он получает из описаний видеороликов на YouTube. Исследователи напоминают, что похожую тактику ранее использовал банкер Casbaneiro.

CoinMiner.Stantinko способен приостанавливать работу других, конкурирующих приложений для криптомайнинга, обнаруживать защитное ПО, приостанавливать процесс добычи криптовалюты, где устройства работает от батареи (предотвращает быструю разрядку) или обнаружен запущенный диспетчер задач.

Исследователи резюмируют, что Stantinko продолжает развиваться и вряд ли остановится в ближайшем будущем. Так, можуль для майнинга –  вовсе не единственное нововведение. К примеру, ранее малварь «научилась» осуществлять словарные атаки против сайтов на базе Joomla и WordPress, направленные на сбор учетных данных. Вероятно,  затем эти данные перепродавались другим преступникам.

Оставить мнение