Stantinko: масштабная adware-кампания, превратившая 500 тысяч ПК в скрытый ботнет

Кроме этого, скомпрометированные машины также оснащены полнофункциональным бэкдором, который позволяет оператору выполнять слежку за жертвой и загружать дополнительное вредоносное ПО на компьютеры.

Многолетняя операция

Можно выделить несколько отличительных особенностей операции Stantinko:

• Она нацелена преимущественно на пользователей из России и Украины.
• Операторы смогли опубликовать сразу два расширения в Магазине Chrome (The Safe Surfing и Teddy Protection), которые выполняют рекламную инъекции в браузер и позволяют зараженным машинам загружать и устанавливать вредоносные объекты.
• В большинстве компонентов Stantinko вредоносный код скрывается внутри легитимного бесплатного программного обеспечения с открытым исходным кодом, которое было изменено и перекомпилировано.
• Операция была активной и хорошо скрытой с 2012 года.

Видео: Пользователь загружает и запускает вредоносный файл

По мнению исследователей, операторы сумели провести свою работу практически незаметно, потому что активно используют шифрование кода и затрудняют работу по обратному инжинирингу. Для проведения полного анализа необходимы несколько частей вредоносного ПО.

Эксперты ESET поясняют:

Для проведения всестороннего анализа угрозы необходимо несколько компонентов – загрузчик и зашифрованный компонент. Вредоносный код скрыт в зашифрованном компоненте, который находится либо на диске, либо в реестре Windows.

Ключ генерируется для каждого из заражений. Некоторые компоненты используют идентификатор бота, другие – серийный номер тома жесткого диска ПК жертвы. Детектирование по незашифрованным компонентам – крайне сложная задача, поскольку артефакты, хранящиеся на диске, не показывают вредоносного поведения до выполнения.

Чтобы гарантировать постоянство, угроза устанавливает две вредоносные службы Windows - если одна будет обнаружена и удалена, то другая переустанавливает утраченную службу и наоборот.

Заражение и активность

Первоначальный вектор атаки осуществлялся с помощью торрент-файла для пиратского программного обеспечения. Когда пользователь запускал файл, вредоносное ПО устанавливало несколько компонентов программного обеспечения, а в фоновом режиме также устанавливал первую вредоносную службу Windows.

С этого момента вредоносное ПО загружает и устанавливает два вредоносных расширения Chrome - “The Safe Surfing” и “Teddy Protection”, целью которых является внедрение рекламы или перенаправление пользователей на определенные сайты, когда, например, они что-то ищут через поисковую систему Rambler или нажимают на одну из предложенных ссылок.

Видео: Переадресация трафика на сайт Rambler

Операторы ботнета получают средства за трафик, который они предоставляют рекламодателям, но, как выяснилось, это не единственный их источник дохода.

Бэкдор Stantinko использует несколько плагинов, которые позволяют:

• Выполнять массовое обнаружение сайтов Joomla и WordPress и взламывать панели администратор с помощью атак полного перебора (а затем вероятно продают украденные учетные данные).
• Создавать аккаунты Facebook и добавлять друзей (цены начинаются от 15 долларов за 1000 лайков).
• Загружать дополнительные вредоносные программы, воровать данные и т.д.

Исследователи отмечают:

Пользователь вряд ли заметит присутствие Stantinko в системе, поскольку угроза не перегружает ЦП. С другой стороны, Stantinko приносит убытки рекламодателям и значительный доход – операторам. Кроме того, присутствие полнофункционального бэкдора позволяет злоумышленникам следить за всеми зараженными машинами.

Если вы подозреваете, что ваше устройство тоже могло стать частью ботнета, то можете его проверить на наличие одного из несколько индикаторов компрометации, опубликованных ESET на GitHub.