2020-03-20 Исследователи раскрыли хитрую тактику крипто-майнера Stantinko
3121

Исследователи раскрыли хитрую тактику крипто-майнера Stantinko

Киберпреступники, стоящие за криптодобывающей сетью Stantinko, придумали несколько гениальных способов «спрятаться».

Stantinko

Аналитик по вредоносному ПО Владислав Хрчка из фирмы ESET, занимающейся вопросами кибербезопасности, судя по блогу, остался впечатлён от действий сотрудников Botnet. Преступники, стоящие за бот-сетью Stantinko, постоянно совершенствуют и разрабатывают новые модули, которые часто содержат нестандартные и интересные приемы.

Полмиллиона сильных ботов действуют с 2012 года и распространяют через вредоносное ПО встроенный пиратский контент. В основном она нацелена на пользователей в России, Украине, Белоруссии и Казахстане. Изначально сеть была ориентирована на мошенничество с кликами, внедрением рекламы, мошенничеством в социальных сетях и атаками с целью кражи паролей. Однако в середине 2018 года он добавил в свой арсенал добычу криптографических активов с помощью модуля Monero.

Модуль имеет компоненты, которые обнаруживают программное обеспечение безопасности и отключает любые операции по добыче криптографических материалов.

Изголодавшийся по мощности блок использует большую часть ресурсов взломанного ПО, но ловко приостанавливает майнинг, во избежание обнаружения в тот момент, когда пользователь открывает диспетчер задач, чтобы выяснить, почему ПК работает так медленно.

Компания ESET выпустила свой первый отчет по модулю криптодобычи в ноябре прошлого года, но с тех пор были добавлены новые методы уклонения от обнаружения, в том числе:

  • Обман строк - значимые строки строятся и присутствуют в памяти только тогда, когда они должны быть использованы;
  • «Мертвые» строки - добавление строк, не влияющих на функциональность;
  • Изменение потока управления - преобразование управляющего потока в трудночитаемую форму, что делает непредсказуемым порядок выполнения основных блоков;
  • Мертвый код - код, который никогда не выполняется, единственная его цель - сделать файлы более легитимными;
  • «Do-nothing» код - добавление кода, который выполняется, но ничего не делает.

Исследователи проверили 2770 сайтов, которые ранее были идентифицированы как ресурсы, использующие криптографические скрипты для нелегального майнинга, на предмет того, были ли они все еще «заражены». В то время, как только 1% из них активно занимался добычей крипто-валюты, еще 11,6% продолжали работать по сценарию Coinhive.



Автор: Максим Кутузов

0 комментариев 0 Комм.

Популярное
Загрузка...