Az ESET kutatói nemrégiben fedezték fel, hogy a félmillió számítógépet megfertőző Stantinko botnet mögötti kiberbűnözők Monero kriptovaluta-bányászó modult telepítenek az általuk irányított fertőzött gépekre.
A Stantinko botnet működtetői - akik körülbelül félmillió számítógépet irányítanak távolból és legalább 2012 óta aktívak - elsősorban Oroszország, Ukrajna, Fehéroroszország és Kazahsztán felhasználóit célozzák, most újabb üzleti modellel bővítették eddigi arzenáljukat.
Miután évek óta kattintási csalásokra, fertőzött online hirdetésekre, közösségi médiás csalásokra és a hitelesítő adatok ellopására támaszkodtak, a Stantinko most elkezdte a Monero kriptovaluta bányászatát is. Vladislav Hrčka, az ESET kártevő elemzője szerint vizsgálataik szerint legalább 2018 augusztusa óta telepítenek az operátorok kriptovaluta-bányász modult az általuk irányított számítógépekre.
A Stantinko kriptovaluta-bányász modulja - ezt az ESET biztonsági megoldásai Win{32,64}/CoinMiner.Stantinko néven azonosítják - az Xmr-stak elnevezésű nyílt forráskódú kriptovaluta-bányász erősen módosított változata. A modul leginkább figyelemre méltó tulajdonsága, hogy az elemzés és az észlelés elkerülése érdekében a készítők igyekeznek megtéveszteni a szakembereket.
A véletlenszerűséggel kombinált forrásszintű kód összezavarás (obfuszkáció), és a tény, hogy a Stantinko operátorai minden új áldozathoz külön hozzáigazítják a modulokat, teljesen egyedivé teszi ezek mintáját.
A megtévesztés mellett a CoinMiner.Stantinko további érdekes trükköket is alkalmaz: a kommunikáció elrejtésének érdekében a modul nem közvetlenül kommunikál a bányászhálózatokkal, hanem olyan proxykon keresztül, amelyek IP-címe YouTube-videók leírásaiból származik. Az ESET tájékoztatta a YouTube-ot az ezzel kapcsolatos visszaélésről, akik a jelzés után az összes ilyen csatornát eltávolították.
A hatékony rejtőzködés érdekében a CoinMiner.Stantinko felfüggeszti a kriptovaluta-bányász funkciót, ha a számítógép akkumulátorról működik, vagy ha a feladatkezelő processz futását észlelik. Ezenkívül a program azt is ellenőrzi, hogy a számítógépen működnek-e más kriptovaluta-bányász alkalmazások, és amennyiben igen, akkor felfüggeszti azok működését. A CoinMiner.Stantinko a gépen futó folyamatokat is átvizsgálja, hogy azonosítsa az azon futó biztonsági szoftvereket.
Noha a CoinMiner.Stantinko messze nem a legveszélyesebb kártevő, de az enyhén szólva is bosszantó, ha a számítógépünket a tudtunk nélkül bűnözők használják pénzszerzésre. További jelentős kockázat, hogy a Stantinko bármikor, bármilyen más kártevő programot is telepíthet az áldozatok számítógépeire.
A kártevőről további részletes információkat a WeLiveSecurity oldalán lévő angol nyelvű blogbejegyzésben olvasható.