Исследователи ESET раскрыли методы работы майнингового ботнета Stantinko

Как выяснили исследователи компании ESET, киберпреступники, стоящие за майнинговым ботнетом Stantinko, разработали несколько оригинальных методов, чтобы избежать обнаружения.

Аналитик вредоносных программ Владислав Хрчка (Vladislav Hrčka) из специализирующейся на кибербезопасности компании ESET обнародовал последние выводы фирмы и возможные контрмеры против операторов ботнета в своем блоге.

Ботнет активен с 2012 года и распространяется с помощью вредоносного ПО, встроенного в пиратский контент. В основном он нацелен на пользователей из России, Украины, Беларуси и Казахстана. Первоначально он осуществлял кликфрод, внедрение рекламы, мошенничество в социальных сетях и кражу паролей, однако в середине 2018 года в арсенал ботнета добавился модуль для скрытого майнинга криптовалюты Monero.

Модуль имеет компоненты, которые обнаруживают антивирусное программное обеспечение и прекращают любые конкурирующие операции криптовалютного майнинга. Модуль истощает большинство ресурсов скомпрометированного устройства, но приостанавливает майнинг, чтобы избежать обнаружения в тот момент, когда пользователь открывает диспетчер задач с целью выяснить, почему ПК работает так медленно.

CoinMiner.Stantinko не взаимодействует напрямую с майнинговым пулом, а использует прокси-серверы. ESET выпустила свой первый отчет о модуле криптовалютного майнинга в ноябре прошлого года, но с тех пор в ботнет были добавлены новые методы, позволяющие избежать обнаружения, в том числе:

• Запутывание строк – значимые строки создаются и присутствуют в памяти только тогда, когда они должны быть использованы.

• Мертвые строки и ресурсы – добавление ресурсов и строк без влияния на функциональность.

• Запутывание потока команд управления – преобразование потока управления в трудно читаемую форму, что делает непредсказуемым порядок выполнения основных блоков.

• Мертвый код – код, который никогда не выполняется, а его единственная цель – сделать файлы более легитимными.

• Код бездействия – добавление кода, который выполняется, но ничего не делает. Это способ обойти поведенческие обнаружения.

Напомним, что в сентябре был обнаружен новый вирус-майнер Skidmap для операционной системы Linux, который скрывает свою деятельность.