Stantinko – malware, който инфектира над половин милион компютри


От началото на 2017 г. изследователите на ESET провеждат разследване на комплексната заплаха, насочена главно към Русия и Украйна. Stantinko, който е известен от 2012 година, е увеличил сложността си и се оказва доста як проблем за решаване. От него вече са засегнати над 500 000 компютри.

Какво представлява Stantinko malware и как действа

За да зарази една система, той предлага на потребителите, които търсят пиратски материали в Интернет, да изтеглят изпълними файлове, прикрити понякога като торенти, уверяващи че са проверени за вируси. Първоначалната инсталация се нарича File tour. Един път като завладее компютъра, инсталира два опасни компонента в Windows, които се стартират на всяко включване.

Гифче на фигурата от Welivesecurity, която показва пълната заплаха от Stantinko от началото на инфекцията до крайните услуги и свързаните с тях плъгини.

Stantinko - malware, скрит в рекламите, който инфетира над половин милион компютри 2

Основната функция на Stantinko е да инсталира две разширения на браузера, които се показват на пръв поглед като напълно нормални и полезни. Доскоро се откриваха в Chrome Store: Teddy Protection и The Safe Surfing. Първото даже си има и сайт.

Stantinko - malware, скрит в рекламите, който инфетира над половин милион компютри 1

А второто все още съществува към момента в Chrome Store. Когато се инсталират от Stantinko, тези иначе нормални разширения, променят конфигурацията си и започват да изпращат на потребителя нежелани реклами.

Разглежданият злонамерен софтуер е modular backdoor. Дава възможност да се настани плъгин, който на базата на синтактичен анализ търси сайтове на Joomla и WordPress и атакува Административния панел. Неговият Facebook бот извършва редица измами – от поставяне на лайкове, до създаване на фалшиви профили и добавяне на приятели.

Проучването на ESET е открило как Stantinko мами социалната мрежа. Той предлага изгодни реклами за 15$ за 1000 лайка. Но тези лайкове са фейк – фалшиви. За да прескочи CAPTCHA на Facebook, ботът му разчита на онлайн услугата anti-CAPTCHA.

Ликвидирането му е трудно, защото трябва едновременно да се унищожат и двете основни части, които е създал в компютъра. Собственикът трудно го усеща, малуерът не натоварва процесора. Задачата му е да те заведе към рекламите, печели от тях.

Заключение

За повече информация: от източника – Welivesecurity и тяхната White paper (pdf файл).

ESET продуктите откриват Stantinko под името Win32/TrojanDownloader.Stantinko и Win32/Adware.Adstantinko. Можеш да използваш ESET Online Scanner, за да сканираш компютъра си, ако мислиш, че е заразен от този malware.

Как да премахнем зловредни програмиПрочети още тук: Как да премахнем зловредни програми като Piesearch.com

 


Коментари