Kriptovaluta-bányász modult telepít a Stantinko botnet az áldozatok gépére

forrás: Prím Online, 2019. november 29. 15:02

Az ESET kutatói nemrégiben fedezték fel, hogy a félmillió számítógépet megfertőző Stantinko botnet mögötti kiberbűnözők Monero kriptovaluta-bányászó modult telepítenek az általuk ellenőrzött gépekre.

A Stantinko botnet működtetői - akik körülbelül félmillió számítógépet irányítanak távolból és legalább 2012 óta aktívak - elsősorban Oroszország, Ukrajna, Fehéroroszország és Kazahsztán felhasználóit célozzák, most új üzleti modellel bővítették arzenáljukat.

 

„Miután évek óta kattintási csalásokra, fertőzött online hirdetésekre, közösségi médiás csalásokra és a hitelesítő adatok ellopására támaszkodtak, a Stantinko most elkezdte a Monero kriptovaluta bányászatát is. Vizsgálataink szerint legalább 2018 augusztusa óta telepítenek az operátorok kriptovaluta-bányász modult az általuk irányított számítógépekre” - mondta Vladislav Hrčka, az ESET kártevő elemzője.

 

 

A Stantinko kriptovaluta-bányász modulja - ezt az ESET biztonsági megoldásai Win {32,64} /CoinMiner.Stantinko néven azonosítja - az xmr-stak nyílt forráskódú kriptovaluta-bányász erősen módosított változata. A modul leginkább figyelemre méltó tulajdonsága, hogy az elemzés és az észlelés elkerülése érdekében a készítők igyekeznek megtéveszteni a szakembereket. „A véletlenszerűséggel kombinált forrásszintű kód összezavarás (obfuszkáció), és a tény, hogy a Stantinko operátorai minden új áldozathoz külön hozzáigazítják a modulokat, teljesen egyedivé teszi ezek mintáját” – tette hozzá a szakember.

 

A megtévesztés mellett a CoinMiner.Stantinko további érdekes trükköket is alkalmaz: a kommunikáció elrejtésének érdekében a modul nem közvetlenül kommunikál a bányászhálózatokkal, hanem proxykon keresztül, amelyek IP-címe a YouTube-videók leírásaiból származik. Az ESET tájékoztatta a YouTube-ot a visszaélésről, akik a jelzés után az összes ilyen csatornát eltávolították. 

 

A hatékony rejtőzködés érdekében a CoinMiner.Stantinko felfüggeszti a kriptovaluta-bányász funkciót, ha a számítógép akkumulátorról működik, vagy ha a feladatkezelő futását észlelik. Ezenkívül a program azt is ellenőrzi, hogy a számítógépen működnek-e más kriptovaluta-bányász alkalmazások, és amennyiben igen, akkor felfüggeszti azok működését. A CoinMiner.Stantinko a gépen futó folyamatokat is átvizsgálja, hogy azonosítsa az azon futó biztonsági szoftvereket.

 

„Noha a CoinMiner.Stantinko messze nem a legveszélyesebb kártevő, de az enyhén szólva is bosszantó, ha a számítógépünket a tudtunk nélkül bűnözők használják pénzszerzésre. Ijesztő a tény, hogy a Stantinko bármikor, bármilyen más kártevő programot is telepíthet az áldozatok számítógépeire” - figyelmeztet Vladislav Hrčka.

 

A kártevőről további részletes információkat a WeLiveSecurity oldalán lévő angol nyelvű blogbejegyzésben olvashat.

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59