operadores de redes de bots Stantinko han mejorado su juego de herramientas mediante la adición de un nuevo medio de la obtención de beneficios de los ordenadores bajo su control. a saber, la Stantinko Troya adquirió un módulo para la minería Monero.
yonorte 2017, ESET expertos reportaron el descubrimiento de la botnet Stantinko, que luego especializado en la publicidad fraudulenta. En ese tiempo, acerca de 500,000 ordenadores se han infectado con este malware.Los investigadores se describe inmediatamente Stantinko como una amenaza compleja, activo al menos desde 2012. El malware es un troyano modular con funcionalidad de puerta trasera, y mecanismos de cifrado de código y de autodefensa han permitido a los operadores Stantinko a pasar desapercibida durante muchos años.
Ahora los expertos de ESET informe que el Stantinko todavía activo ha adquirido el módulo de minería criptomoneda Monero, y CoinMiner.Stantinko ha convertido en otra forma de ganar dinero para los operadores de redes de bots.
“característica más notable de este módulo es la forma en que se ofusca para frustrar el análisis y evitar la detección. Debido a la utilización de ofuscación del nivel de fuente con un grano de aleatoriedad y el hecho de que los operadores de Stantinko compilar este módulo para cada nueva víctima, cada muestra del módulo es único”, - especialistas informe de ESET.
Adicionalmente, ya que se basa en el minero de código abierto xmr-STAK CoinMiner.Stantinko, no se comunica con la piscina minera directamente, pero a través de servidores proxy, y recibe sus direcciones IP de la descripción del video en YouTube. Los investigadores recuerdan que el banquero Casbaneiro utilizado anteriormente una táctica similar.
CoinMiner.Stantinko es capaz de suspender otra, compitiendo aplicaciones de minería cripto.
leer también: gusano de la minería Graboid propaga a través de los contenedores Docker
Stantinko también puede detectar el software de seguridad. El malware también analiza los procesos en ejecución para encontrar software de seguridad.
Curiosamente, el troyano es capaz de suspender bastante astutamente el proceso de minería criptomoneda.
“CoinMiner.Stantinko suspende temporalmente la minería si detecta que no hay ninguna fuente de alimentación conectada a la máquina. esta medida, evidentemente dirigida a los ordenadores portátiles, previene la batería de drenaje rápido ... que podría plantear la sospecha de que el usuario”, - dicen los investigadores de ESET.
Los investigadores concluyen que Stantinko continúa evolucionando y es poco probable que parar en un futuro cercano. Por lo tanto, el módulo para la minería no es la única innovación en absoluto. Por ejemplo, Más temprano, el malware “aprendido” para llevar a cabo ataques de diccionario contra los sitios basados en Joomla y WordPress, destinado a obtener credenciales. Probablemente, estos datos fueron revendidos a otros delincuentes.
