logo ESET software spol. s r. o.

Malware Stantinko se vyhýbá detekci antivirových programů

Těžce identifikovatelný nový kmen malwaru se šíří prostřednictvím dvou pluginů pro internetový prohlížeč Chrome. Po napadení Stankino své oběti podvodně přiměje ke stahování pirátského softwaru z falešných torrentových serverů.

Stantinko cílí především na rusky mluvící uživatele a jedná se o síť botů, jež svým tvůrcům generují zisky instalací rozšíření webového prohlížeče, které při surfování na webu vkládá podstrčené reklamy.

Pokud dojde k jeho instalaci do počítače, dokáže anonymně provádět masivní vyhledávání na Googlu a vytvářet falešné účty na Facebooku, kde dokáže lajkovat fotografie, stránky a přidávat přátele. V České republice je riziko nakažení poměrně nízké. Cílem této kampaně je především Rusko, Ukrajina a Bělorusko.

Modulární zadní vrátka

Schopnost malwaru Stantinko vyhnout se detekci antivirových programů spočívá ve využití silné obfuskace a skrývání se ve zdrojových kódech, které na první pohled vypadají legitimně. Škodlivý kód využívá vyspělé techniky a je skryt buď zašifrovaný v souboru, nebo v registru Windows. Následně je dešifrován pomocí klíče, který se vygeneruje během prvotního napadení. Jeho škodlivé chování nelze detekovat, dokud ze svého řídicího serveru neobdrží nové komponenty, což komplikuje jeho odhalení.

Jakmile je počítač infikován, nainstaluje dvě škodlivé služby v rámci operačního systému Windows, které se spouští při každém jeho startu. Zbavit se ho je obtížné, protože každá z obou služeb má schopnost znovu nainstalovat tu druhou. Aby uživatel problém plně eliminoval, musí vymazat ze svého počítače obě tyto služby současně.

Když se Stantinko dostane do počítače, nainstaluje do prohlížeče dva zásuvné moduly - oba jsou jinak běžně k dispozici ke stažení na Google Chrome Web Store - jmenují se The Safe Surfing a Teddy Protection.

"Během naší analýzy byly oba pluginy na internetu stále nabízeny. Na první pohled vypadají jako legitimní rozšíření webového prohlížeče a dokonce mají své internetové stránky. Pokud je však nainstaluje Stantinko, obdrží tato rozšíření odlišnou konfiguraci, která obsahuje příkazy na provádění podvodných kliknutí na reklamy a vkládání vlastního kódu do navštěvovaných webových stránek," říká Marc-Etienne Léveillé, expert na výzkum malwaru ve společnosti ESET.

Když se Stantinko infiltruje do počítače, mohou operátoři tohoto malwaru používat flexibilní pluginy k tomu, aby s nakaženým počítačem prováděli, cokoli si budou přát. To znamená například masivní anonymní vyhledávání stránek vytvořených pomocí nástrojů Joomla a WordPress, na něž následně provádějí tzv. "brute force" útoky s cílem vyhledání a odcizení dat, a mohou též vytvářet falešné účty na Facebooku.

Jak hackeři vydělávají na malwaru Stantinko

Malware Stantinko má velmi lukrativní potenciál, jelikož automaticky generovaná kliknutí na online reklamy jsou pro hackery hlavním zdrojem příjmů. Organizace White Ops a Association of National Advertisers provedly ve Spojených státech průzkum a odhadují, že falešná kliknutí na reklamu bude firmy jen v tomto roce stát 6,5 miliardy USD.

Detailní informace o webových stránkách, které se staly obětí útoků vedených malwarem Stantinko, jež se snaží uhádnout přístupová hesla tím, že zkouší tisíce různých možností, lze navíc prodávat na černém trhu.

I když experti společnosti ESET zjevné škodlivé aktivity na sociálních sítích nezjistili, operátoři malwaru Stantinko mají nástroj, který jim umožňuje provádět podvody na Facebooku tím, že prodávají lajky, čímž neoprávněně upoutávají pozornost spotřebitelů, kteří podvodné jednání neočekávají.

Zásuvné moduly Safe Surfing a Teddy Protection jsou schopné vkládat reklamy nebo přesměrovávat uživatele. To operátorům malwaru Stantinko umožňuje získávat odměnu za internetový provoz, který těmto odkazům zprostředkují. Dokonce jsme zjistili, že někteří uživatelé se dostali na stránky plátce reklamy přímo z reklam, jež ovládal Stantinko.

V České republice je riziko nakažení poměrně nízké. Evidováno je přibližně tisíc detekcí. V počtu detekcí tohoto malware je Česká republika na dvaadvacátém místě. Žebříček vede Rusko, Ukrajina a Bělorusko.

Článek ESET software spol. s r. o. ze dne 9. srpna 2017 - středa

Další články ESET software spol. s r. o.

Pozor na nebezpečné neoficiální streamovací služby

Malware Stantinko se vyhýbá detekci antivirových programů

Nebezpečný trojský kůň Chromex se vrátil v nové vlně do Česka

Nová epidemie ransomware útočí na Česko

Uživatelé v Česku ochranu svých mobilních zařízení stále podceňují

Malware Industroyer je hrozbou pro infrastrukturu energetických sítí

Obnova zašifrovaných dat po napadení ransomwarem AES-NI a XData

Ransomware WannaCry se Česku vyhnul, posiluje nevyžádaná reklama AztecMedia

Nástroje pro pomoc uživatelům zasaženým ransomware

Statistika detekcí ransomwaru WannaCry

Komentář ESETu k šíření ransomwaru WannaCry

Stoprocentní úspěšnost bezpečnostních produktů ESET v AV-Testu

Podvodná kampaň na Facebooku a Twitteru cílí na údaje o platebních kartách

Trojský kůň Chromex ohrožuje Česko

Zkušenost s krádeží peněz při internetových platbách mají tři procenta Čechů

Malware Danger v Česku stále posiluje

Ještě dokonalejší vzdálená správa koncových stanic a ochrana virtualizovaného prostředí pro firmy

ESET Crysis Decryptor pro dešifrování dat

Šifrování dat jako možný nástroj pro naplnění požadavků GDPR

Malware Danger v Česku opět posiluje

Z ransomware na Androidu se stává globální hrozba

Ochrana firemních dat proti cíleným útokům

Změny v top managementu ESET

Mobilní bankovnictví ohrožuje SMS malware

Malware Danger je v Česku na ústupu, downloader Agent posiluje

Nová vývojová centra ESETu v Brně a Žilině

Pozor na malware, který se šíří v Česku pomocí falešných SMS

Nová vývojová centra ESETu v Kanadě a Rumunsku

Bezpečnostní řešení ESET pro domácí i firemní IT na českém trhu posiluje

Malware KillDisk šifruje obsah napadených zařízení s operačním systémem Linux

Malware Danger představuje největší virovou hrozbou v Česku

Ochrana před ransomware pro domácí uživatele s Windows

Sto ocenění ve srovnávacích testech VB100 pro ESET NOD32

Vánoční slevy na Facebooku mohou být zneužity ke krádeži údajů z platebních karet

Nebyl váš počítač také zneužit k botnet útokům v síti Avalanche?

Malware Danger - nejrozšířenější počítačová hrozba současnosti

Testy bezpečnostních IT řešení nejlépe zvládnul ESET Endpoint Security

Škodlivé reklamní bannery šíří exploit kit Stegano

Češi jsou lehkovážní při používání mobilních telefonů

ESET Crysis Decryptor - nástroj pro dešifrování dat po napadení ransomwarem Crysis

Ransomware Locky se šíří na Facebooku

ESET Smart Security 9 zabodoval v testu antivirů pro domácí uživatele

Bezplatný nástroj ESET Retefe checker proti bankovnímu malware

Malware Retefe útočil na klienty Tesco Bank

Nová pobočka ESET v Mnichově

Malware Danger je stále největší hrozbou českého internetu

Domácí routery jsou často bez zabezpečení

Užijte si bezpečný internet s prémiovou ochranou!

Facebook je stále terčem útoků - pozor na falešná personalizovaná videa

Trojice nejčetnějších kybernetických hrozeb v Česku

Cool letní akce datového centra Coolhousing