Аналитик вредоносных программ Владислав Хрчка (Vladislav Hrčka) из специализирующейся на кибербезопасности компании ESET обнародовал последние выводы фирмы и возможные контрмеры против операторов ботнета в своем блоге.
«Преступники, стоящие за ботнетом Stantinko, постоянно совершенствуются и разрабатывают новые модули, которые часто содержат нестандартные и интересные методы», – написал он.
Ботнет активен с 2012 года и распространяется с помощью вредоносного ПО, встроенного в пиратский контент. В основном он нацелен на пользователей из России, Украины, Беларуси и Казахстана. Первоначально он осуществлял кликфрод, внедрение рекламы, мошенничество в социальных сетях и кражу паролей, однако в середине 2018 года в арсенал ботнета добавился модуль для скрытого майнинга криптовалюты Monero.
Модуль имеет компоненты, которые обнаруживают антивирусное программное обеспечение и прекращают любые конкурирующие операции криптовалютного майнинга. Модуль истощает большинство ресурсов скомпрометированного устройства, но приостанавливает майнинг, чтобы избежать обнаружения в тот момент, когда пользователь открывает диспетчер задач с целью выяснить, почему ПК работает так медленно.
CoinMiner.Stantinko не взаимодействует напрямую с майнинговым пулом, а использует прокси-серверы. ESET выпустила свой первый отчет о модуле криптовалютного майнинга в ноябре прошлого года, но с тех пор в ботнет были добавлены новые методы, позволяющие избежать обнаружения, в том числе:
-
Запутывание строк – значимые строки создаются и присутствуют в памяти только тогда, когда они должны быть использованы.
-
Мертвые строки и ресурсы – добавление ресурсов и строк без влияния на функциональность.
-
Запутывание потока команд управления – преобразование потока управления в трудно читаемую форму, что делает непредсказуемым порядок выполнения основных блоков.
-
Мертвый код – код, который никогда не выполняется, а его единственная цель – сделать файлы более легитимными.
-
Код бездействия – добавление кода, который выполняется, но ничего не делает. Это способ обойти поведенческие обнаружения.
«Самая известная особенность этого модуля – это то, как он запутывает данные, чтобы помешать анализу и избежать обнаружения. Из-за использования запутывания на уровне источника с зерном случайности и того факта, что операторы Stantinko компилируют этот модуль для каждой новой жертвы, каждая выборка модуля уникальна», – отметил Хрчка в ноябрьском отчете.
Напомним, что в сентябре был обнаружен новый вирус-майнер Skidmap для операционной системы Linux, который скрывает свою деятельность.