Ботнет Stantinko нацелен на Россию и Украину

В существовании ботнетов нет ничего нового с точки зрения хакерских инцидентов. Однако вызывает беспокойство скорость, с которой эти ботнеты усложняются (как в векторах атаки, так и в глобальных целях). От Miraito Necurs сообществу специалистов по информационной безопасности приходилось сталкиваться с рекордными DDoS-атаками и масштабными кампаниями вредоносного ПО, которые угрожали ключевой инфраструктуре. Похоже, что, по мнению исследователей из ESET, появился еще один ботнет с мощным потенциалом — ботнет Stantinko.

В недавнем отчете, опубликованном на сайте welivesecurity, исследователи ESET разобрали ботнет Stantinko, который атакует как российские, так и украинские цели. Основной атакой Stantinko была рекламная кампания, направленная против полумиллиона пользователей из соответствующих регионов. Большинство пользователей заражаются при загрузке пиратского программного обеспечения, которое вовсе не является пиратским. Вместо этого это вредоносный файл.exe, замаскированный под поддельный торрент.

Процесс атаки злоумышленников Stantinko описывается следующим образом:

Чтобы заразить систему, они обманом заставляют пользователей, ищущих пиратское ПО, скачивать исполняемые файлы, иногда замаскированные под торренты. FileTour, первоначальный вектор установки Stantinko, затем громко устанавливает много программного обеспечения, чтобы отвлечь пользователя, в то время как он скрытно устанавливает первый сервис Stantinko в фоновом режиме.

После установки рекламное ПО продолжает создавать источник денежной прибыли в зараженной системе с помощью внедрения рекламы и кликджекинга (оно делает это, устанавливая расширения браузера под названием и ). Однако это только первая фаза атаки, поскольку кажется, что ботнет Stantinko способен практически на все. В отчете ESET упоминаются действия ботнета после заражения, в том числе «полнофункциональный бэкдор, бот, выполняющий массовый поиск в Google, и инструмент, выполняющий атаки грубой силы на панели администратора Joomla и WordPress в попытке скомпрометировать и потенциально перепродать их».

Полностью подробную схему всей атаки Стантинко можно увидеть ниже:

Самое интересное в Стантинко то, что он появился не совсем недавно. На самом деле ботнет набирал силу и новые схемы атак с момента своего создания в 2012 году. Причина, по которой исследователям потребовалось до 2017 года, чтобы обнаружить Stantinko, заключалась в умелом использовании шифрования кода, а также методов защиты от вирусов.

Хотя в настоящее время цели находятся в Восточной Европе, ботнет с такими возможностями, который так долго избегал обнаружения, скорее всего, станет глобальным. Ботнеты — такой универсальный инструмент атаки, как для легкомысленных, так и для опытных черных шляп. Всему сообществу кибербезопасности следовало бы как можно больше узнать о Стантинко, прежде чем ботнет раскинет еще более широкую сеть.