Как выяснили исследователи компании ESET, киберпреступники, стоящие за майнинговым ботнетом Stantinko, разработали несколько оригинальных методов, чтобы избежать обнаружения.

Аналитик вредоносных программ Владислав Хрчка (Vladislav Hrčka) из специализирующейся на кибербезопасности компании ESET обнародовал последние выводы фирмы и возможные контрмеры против операторов ботнета в своем блоге.

«Преступники, стоящие за ботнетом Stantinko, постоянно совершенствуются и разрабатывают новые модули, которые часто содержат нестандартные и интересные методы», – написал он.

Ботнет активен с 2012 года и распространяется с помощью вредоносного ПО, встроенного в пиратский контент. В основном он нацелен на пользователей из России, Украины, Беларуси и Казахстана. Первоначально он осуществлял кликфрод, внедрение рекламы, мошенничество в социальных сетях и кражу паролей, однако в середине 2018 года в арсенал ботнета добавился модуль для скрытого майнинга криптовалюты Monero.

Модуль имеет компоненты, которые обнаруживают антивирусное программное обеспечение и прекращают любые конкурирующие операции криптовалютного майнинга. Модуль истощает большинство ресурсов скомпрометированного устройства, но приостанавливает майнинг, чтобы избежать обнаружения в тот момент, когда пользователь открывает диспетчер задач с целью выяснить, почему ПК работает так медленно.

CoinMiner.Stantinko не взаимодействует напрямую с майнинговым пулом, а использует прокси-серверы. ESET выпустила свой первый отчет о модуле криптовалютного майнинга в ноябре прошлого года, но с тех пор в ботнет были добавлены новые методы, позволяющие избежать обнаружения, в том числе:

  • Запутывание строк – значимые строки создаются и присутствуют в памяти только тогда, когда они должны быть использованы.

  • Мертвые строки и ресурсы – добавление ресурсов и строк без влияния на функциональность.

  • Запутывание потока команд управления – преобразование потока управления в трудно читаемую форму, что делает непредсказуемым порядок выполнения основных блоков.

  • Мертвый код – код, который никогда не выполняется, а его единственная цель – сделать файлы более легитимными.

  • Код бездействия – добавление кода, который выполняется, но ничего не делает. Это способ обойти поведенческие обнаружения.

«Самая известная особенность этого модуля – это то, как он запутывает данные, чтобы помешать анализу и избежать обнаружения. Из-за использования запутывания на уровне источника с зерном случайности и того факта, что операторы Stantinko компилируют этот модуль для каждой новой жертвы, каждая выборка модуля уникальна», – отметил Хрчка в ноябрьском отчете.

Напомним, что в сентябре был обнаружен новый вирус-майнер Skidmap для операционной системы Linux, который скрывает свою деятельность.