Een researchteam van ESET ontdekte dat criminelen van het Stantinko-botnet nu een Monero-mining module verspreiden op de computers die ze besturen.
De operatoren van de Stantinko
botnet – die naar
schatting een half miljoen computers aansturen en sinds 2012 actief zijn – doelen voornamelijk op Rusland, Oekraïne, Belarus en Kazakhstan. Nu
zijn ze op een nieuw businessmodel overgestapt.
“Na jaren van klikfraude,
advertentie-injectie, sociale netwerkfraude en stelen van identiteiten, begon
Stantinko met het mijnen van Monero. Sinds augustus 2018 gingen de operatoren van
start met het verspreiden van een module voor cryptomining op de
computers die ze controleren,” zegt Vladislav Hrčka, malware
analist bij ESET die het onderzoek heeft geleid.
Stantinko’s cryptominingmodule, die door de beveiligingsproducten van
ESET als Win{32,64}/CoinMiner.Stantinko werd gedetecteerd, is een sterk
aangepaste versie van de open source cryptominer xmr-stak. Zijn belangrijkste eigenschap is de manier
waarop het wordt verdoezeld om zo elke analyse te dwarsbomen en dus aan
detectie te ontsnappen. “Wegens het
gebruik van verduistering op bronniveau met wat willekeur en het feit dat de
operatoren van Stantinko deze module voor elk nieuw slachtoffer compileren, is
elk exemplaar van deze module uniek,” verduidelijkt Hrčka.
Naast verduistering maakt CoinMiner.Stantinko gebruik van interessante
trucjes. Om zijn communicatie te verbergen, communiceert de module niet
rechtstreeks met zijn mining
pool maar via proxies
waarvan de IP-adressen afkomstig zijn uit de beschrijvende tekst van
YouTube-video's. (Een gelijkaardige techniek voor het verbergen van gegevens in
beschrijvingen van YouTube-video’s wordt gebruikt door de banking malware
Casbaneiro, die onlangs door ESET werd geanalyseerd.)
“We hebben YouTube hierover geïnformeerd en
alle kanalen met deze video’s werden verwijderd,” aldus Hrčka.
Om de achterdocht van de slachtoffers te voorkomen, schort CoinMiner.Stantinkode
de cryptomining-functie op als de computer op batterijen werkt of als een
taakbeheer gedetecteerd wordt. Het controleert ook of andere apps voor cryptomining
op de computer draaien om deze uiteindelijk te schorsen. CoinMiner.Stantinko
scant ook lopende processen om beveiligingssoftware te vinden.
“CoinMiner.Stantinko is verre van
de gevaarlijkste malware, maar het is vervelend - op zijn zachtst gezegd, een
computer te hebben die bezig is met geld te verdienen voor criminelen. Erger is
het feit dat Stantinko op elk moment de computers van de slachtoffers met
andere – mogelijk schadelijke – malware kan opzadelen,” waarschuwt Vladislav Hrčka.
Gebruikers kunnen zich tegen dergelijke bedreigingen beveiligen door
basis beveiligingspraktijken toe te passen en een betrouwbare
beveiligingsoplossing te gebruiken, zeggen de vorsers van ESET.
Meer details zijn te vinden op de blogpost Stantinko botnet adds cryptomining
to its pool of criminal activities op WeLiveSecurity.