Stantinko, nevidljiva bot mreža sa 50000 inficiranih računara

Vesti, 28.07.2017, 09:30 AM

Istraživači iz kompanije ESET otkrili su bot mrežu sa 500000 inficiranih računara angažovanih uglavnom na poslu kliktanja na reklame pomoću malicioznih ekstenzija za Chrome, ali i u prevarama na Facebooku i brute-forcingu Joomla i WordPress web sajtova.

Pored toga, kompromitovani računari su opremljeni sa potpuno funkcionalnim backdoorom, koji omogućava kriminalcima da špijuniraju žrtve i preuzimaju druge malvere na inficirane računare.

Operacija Stantinko, kako su je nazvali istraživači, cilja uglavnom korisnike u Rusiji i Ukrajini. Kriminalci su uspeli da na Chrome Web Store objave dve ekstenzije za ubacivanje reklama, koje preuzimaju i instaliraju inficirani računari. Maliciozni kod koji se koristi u ovoj operaciji koja je započela 2012. godine, uglavnom je sakriven u legitimnom besplatnom i softveru otvorenog koda.

Sajber kriminalci koji stoje iza ove operacije uspeli su da sakriju svoje aktivnosti zahvaljujući tome što koriste enkripciju koja otežava reverzni inženjering.

"Uvek su uključene dve komponente: loader i šifrovana komponenta", kažu istraživači ESET-a. "Maliciozni kod je sakriven u šifrovanoj komponenti koja se nalazi ili na disku ili u Windows Registry. Ovaj kod učitava i izvršava naizgled bezopasni izvršni fajl. Ključ za dešifrovanje ovog koda se generiše za svaku infekciju ponaosob. Neke komponente koriste bot identifikator a druge serijski broj diska sa hard diska žrtvinog računara. Pouzdana detekcija bazirana na nekriptovanim komponentama je veoma težak zadatak jer komponente koje su na disku ne pokazuju maliciozno ponašanje sve dok se ne pokrenu."

Da bi obezbedila opstanak na računaru, ova pretnja instalira dva Windows servisa - ako jedan bude otkriven i deinstaliran, drugi će ga reinstalirati i obrnuto.

Do infekcije računara dolazi pomoću FileToura, koji se predstavlja kao torrent fajl za piratski softver. Kada korisnik pokrene ovaj fajl, malver instalira nekoliko programa, kao i jedan maliciozni Windows servis.

Od tog trenutka, malver preuzima i instalira dve maliciozne ekstenzije za Chrome - The Safe Surfing” i “Teddy Protection” - koje ubacuju rekame ili preusmeravaju korisnike na određene sajtove kada recimo pretražuju internet preko ruskog pretraživača Rambler i kada kliknu na jedan od ponuđenih linkova.

Oni koji stoje iza ovoga zarađuju od oglašivača koji im plaćaju za saobraćaj, ali to nije jedini izvor njihovih prihoda.

Stantinko backdoor ima nekoliko pluginova koji omogućavaju izvođenje masovnih distribuiranih pretraga za Joomla i WordPress sajtove, brute-forcing admin panela ovih sajtova (verovatno prodaju kompromitovane lozinke), kreiranje Facebook naloga, lajkovanje slika ili stranica, dodavanje prijatelja (cena se kreće oko 15 dolara za 1000 lajkova), preuzimanje drugih malvera, izvlačenje podataka itd.

Iako je za korisnika neprimetna zahvaljujući tome što ne opterećuje CPU, Stantinko je prema rečima istraživača velika pretnja, jer je za sajber kriminalce izvor velikih prihoda. Osim toga, potpuno funkcionalni backdoor omogućava kriminalcima špijuniranje svih inficiranih računara.