Определены компоненты, мешающие обнаружению майнинг-ботнета Stantinko
Стоящие за разработкой майнингового ботнета Stantinko хакеры прибегают к оригинальным методам для маскировки активности своего вредоноса. Об этом сообщили аналитики специализирующейся на кибербезопасности компании ESET.
Based on the investigation into the #Stantinko #botnet, @ESETresearch has analyzed several never before described techniques used by malicious actors to thwart analysis and avoid detection of their #malware. @welivesecurity ➡️ https://t.co/ByZIS4iiP5 pic.twitter.com/obAIYJSP5d
— ESET (@ESET) March 19, 2020
Модули ботнета умеют обнаруживать антивирусы на устройстве жертвы и принудительно завершать работу конкурирующих программ для скрытого майнинга. Несмотря на ресурсозатратность вредонос приостанавливает свою работу в момент запуска диспетчера задач, что усложняет его обнаружение на зараженном ПК.
Взаимодействие CoinMiner.Stantinko с майнинговым пулом происходит через прокси-серверы.
Чтобы выглядеть для системы более легитимным, ботнет использует метод мертвого кода; запутывание строк позволяет ему генерировать исполняемый код в памяти устройства непосредственно перед использованием, а запутывание команд управления делает непредсказуемым порядок выполнения основных блоков. Все это усложняет удаление ботнета из зараженной системы.
«Самая известная особенность этого модуля – это то, как он запутывает данные, чтобы помешать анализу и избежать обнаружения. Из-за использования генератора псевдослучайных чисел и того факта, что операторы Stantinko компилируют этот модуль для каждой новой жертвы, каждая выборка модуля уникальна», – отметили эксперты ESET.
Ботнет Stantinko активен с 2012 года и распространяется с помощью вредоносного ПО, встроенного в пиратский контент. Изначально он специализировался на рекламном мошенничестве, а к середине 2018 года в него был добавлен модуль для скрытого майнинга криптовалюты Monero.
На ноябрь 2019 года Stantinko заразил около 500 тысяч компьютеров в России, Украине, Беларуси и Казахстане.
Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!