28.11.19

ESET ontdekt dat de Stantinko botnet een cryptomining-module verspreidt


Een researchteam van ESET ontdekte dat criminelen van het Stantinko-botnet nu een Monero-mining module verspreiden op de computers die ze besturen.

De operatoren van de Stantinko botnet – die naar schatting een half miljoen computers aansturen en sinds 2012 actief zijn – doelen voornamelijk op Rusland, Oekraïne, Belarus en Kazakhstan. Nu zijn ze op een nieuw businessmodel overgestapt. 
Na jaren van klikfraude, advertentie-injectie, sociale netwerkfraude en stelen van identiteiten, begon Stantinko met het mijnen van Monero. Sinds augustus 2018 gingen de operatoren van start met het verspreiden van een module voor cryptomining op de computers die ze controleren,” zegt Vladislav Hrčka, malware analist bij ESET die het onderzoek heeft geleid.
Stantinko’s cryptominingmodule, die door de beveiligingsproducten van ESET als Win{32,64}/CoinMiner.Stantinko werd gedetecteerd, is een sterk aangepaste versie van de open source cryptominer xmr-stak. Zijn belangrijkste eigenschap is de manier waarop het wordt verdoezeld om zo elke analyse te dwarsbomen en dus aan detectie te ontsnappen. “Wegens het gebruik van verduistering op bronniveau met wat willekeur en het feit dat de operatoren van Stantinko deze module voor elk nieuw slachtoffer compileren, is elk exemplaar van deze module uniek,” verduidelijkt Hrčka.
Naast verduistering maakt CoinMiner.Stantinko gebruik van interessante trucjes. Om zijn communicatie te verbergen, communiceert de module niet rechtstreeks met zijn  mining pool maar via proxies waarvan de IP-adressen afkomstig zijn uit de beschrijvende tekst van YouTube-video's. (Een gelijkaardige techniek voor het verbergen van gegevens in beschrijvingen van YouTube-video’s wordt gebruikt door de banking malware Casbaneiro, die onlangs door ESET werd geanalyseerd.)
 “We hebben YouTube hierover geïnformeerd en alle kanalen met deze video’s werden verwijderd,” aldus Hrčka.
Om de achterdocht van de slachtoffers te voorkomen, schort CoinMiner.Stantinkode de cryptomining-functie op als de computer op batterijen werkt of als een taakbeheer gedetecteerd wordt. Het controleert ook of andere apps voor cryptomining op de computer draaien om deze uiteindelijk te schorsen. CoinMiner.Stantinko scant ook lopende processen om beveiligingssoftware te vinden.
“CoinMiner.Stantinko is verre van de gevaarlijkste malware, maar het is vervelend - op zijn zachtst gezegd, een computer te hebben die bezig is met geld te verdienen voor criminelen. Erger is het feit dat Stantinko op elk moment de computers van de slachtoffers met andere – mogelijk schadelijke – malware kan opzadelen,” waarschuwt Vladislav Hrčka.
Gebruikers kunnen zich tegen dergelijke bedreigingen beveiligen door basis beveiligingspraktijken toe te passen en een betrouwbare beveiligingsoplossing te gebruiken, zeggen de vorsers van ESET.
Meer details zijn te vinden op de blogpost Stantinko botnet adds cryptomining to its pool of criminal activities op WeLiveSecurity.