Майнинг

Исследователи ESET раскрыли методы работы майнингового ботнета Stantinko

Как выяснили исследователи компании ESET, киберпреступники, стоящие за майнинговым ботнетом Stantinko, разработали несколько оригинальных методов, чтобы избежать обнаружения.

Аналитик вредоносных программ Владислав Хрчка (Vladislav Hrčka) из специализирующейся на кибербезопасности компании ESET обнародовал последние выводы фирмы и возможные контрмеры против операторов ботнета в своем блоге.

«Преступники, стоящие за ботнетом Stantinko, постоянно совершенствуются и разрабатывают новые модули, которые часто содержат нестандартные и интересные методы», – написал он.

Ботнет активен с 2012 года и распространяется с помощью вредоносного ПО, встроенного в пиратский контент. В основном он нацелен на пользователей из России, Украины, Беларуси и Казахстана. Первоначально он осуществлял кликфрод, внедрение рекламы, мошенничество в социальных сетях и кражу паролей, однако в середине 2018 года в арсенал ботнета добавился модуль для скрытого майнинга криптовалюты Monero.

Модуль имеет компоненты, которые обнаруживают антивирусное программное обеспечение и прекращают любые конкурирующие операции криптовалютного майнинга. Модуль истощает большинство ресурсов скомпрометированного устройства, но приостанавливает майнинг, чтобы избежать обнаружения в тот момент, когда пользователь открывает диспетчер задач с целью выяснить, почему ПК работает так медленно.

CoinMiner.Stantinko не взаимодействует напрямую с майнинговым пулом, а использует прокси-серверы. ESET выпустила свой первый отчет о модуле криптовалютного майнинга в ноябре прошлого года, но с тех пор в ботнет были добавлены новые методы, позволяющие избежать обнаружения, в том числе:

  • Запутывание строк – значимые строки создаются и присутствуют в памяти только тогда, когда они должны быть использованы.

  • Мертвые строки и ресурсы – добавление ресурсов и строк без влияния на функциональность.

  • Запутывание потока команд управления – преобразование потока управления в трудно читаемую форму, что делает непредсказуемым порядок выполнения основных блоков.

  • Мертвый код – код, который никогда не выполняется, а его единственная цель – сделать файлы более легитимными.

  • Код бездействия – добавление кода, который выполняется, но ничего не делает. Это способ обойти поведенческие обнаружения.

«Самая известная особенность этого модуля – это то, как он запутывает данные, чтобы помешать анализу и избежать обнаружения. Из-за использования запутывания на уровне источника с зерном случайности и того факта, что операторы Stantinko компилируют этот модуль для каждой новой жертвы, каждая выборка модуля уникальна», – отметил Хрчка в ноябрьском отчете.

Напомним, что в сентябре был обнаружен новый вирус-майнер Skidmap для операционной системы Linux, который скрывает свою деятельность.

Источник

Теги

Похожие статьи

Кнопка «Наверх»
  • bitcoinBitcoin (BTC) $ 6,354.42
  • ethereumEthereum (ETH) $ 132.87
  • rippleXRP (XRP) $ 0.173518
  • tetherTether (USDT) $ 1.00
  • bitcoin-cashBitcoin Cash (BCH) $ 217.90
  • bitcoin-cash-svBitcoin SV (BSV) $ 163.82
  • litecoinLitecoin (LTC) $ 38.79
  • eosEOS (EOS) $ 2.21
  • binancecoinBinance Coin (BNB) $ 12.53
  • okbOKB (OKB) $ 4.29
  • tezosTezos (XTZ) $ 1.59
  • leo-tokenLEO Token (LEO) $ 1.04
  • cardanoCardano (ADA) $ 0.030107
  • moneroMonero (XMR) $ 47.34
  • chainlinkChainLink (LINK) $ 2.24
  • stellarStellar (XLM) $ 0.040152
  • huobi-tokenHuobi Token (HT) $ 3.31
  • tronTRON (TRX) $ 0.011504
  • usd-coinUSD Coin (USDC) $ 1.00
  • crypto-com-chainCrypto.com Coin (CRO) $ 0.048303
  • dashDash (DASH) $ 64.49
  • ethereum-classicEthereum Classic (ETC) $ 4.86
  • neoNEO (NEO) $ 6.76
  • iotaIOTA (MIOTA) $ 0.143469
  • cosmosCosmos (ATOM) $ 1.94
  • nemNEM (XEM) $ 0.036243
  • zcashZcash (ZEC) $ 30.86
  • makerMaker (MKR) $ 293.92
  • paxos-standardPaxos Standard (PAX) $ 0.997106
  • ontologyOntology (ONT) $ 0.369784
  • dogecoinDogecoin (DOGE) $ 0.001817
  • basic-attention-tokenBasic Attention Token (BAT) $ 0.138086
  • vechainVeChain (VET) $ 0.003016
  • true-usdTrueUSD (TUSD) $ 0.998942
  • liskLisk (LSK) $ 0.964840
  • iconICON (ICX) $ 0.247585
  • decredDecred (DCR) $ 11.29
  • bitcoin-goldBitcoin Gold (BTG) $ 7.10
  • hedera-hashgraphHedera Hashgraph (HBAR) $ 0.031873
  • qtumQtum (QTUM) $ 1.22
  • augurAugur (REP) $ 10.00
  • algorandAlgorand (ALGO) $ 0.153493
  • 0x0x (ZRX) $ 0.150284
  • wavesWaves (WAVES) $ 0.955827
  • ravencoinRavencoin (RVN) $ 0.015447
  • bitcoin-diamondBitcoin Diamond (BCD) $ 0.473354
  • bytomBytom (BTM) $ 0.056403
  • monacoinMonaCoin (MONA) $ 1.18
  • daiDai (DAI) $ 1.02
  • enjincoinEnjin Coin (ENJ) $ 0.090459
  • gatechain-tokenGatechain Token (GT) $ 0.399657
  • kyber-networkKyber Network (KNC) $ 0.426973
  • kucoin-sharesKuCoin Shares (KCS) $ 0.922050
  • monacoMCO (MCO) $ 4.78
  • numeraireNumeraire (NMR) $ 16.12
  • theta-tokenTheta Network (THETA) $ 0.072977
  • omisegoOmiseGO (OMG) $ 0.516111
  • ftx-tokenFTX Token (FTT) $ 2.38
  • statusStatus (SNT) $ 0.017318
  • nanoNano (NANO) $ 0.487331
  • dxchainDxChain Token (DX) $ 0.001291
  • nexoNEXO (NEXO) $ 0.108782
  • holotokenHolo (HOT) $ 0.000330
  • digibyteDigiByte (DGB) $ 0.004490
  • energiEnergi (NRG) $ 2.15
  • havvenSynthetix Network Token (SNX) $ 0.613098
  • nervos-networkNervos Network (CKB) $ 0.003967
  • siacoinSiacoin (SC) $ 0.001271
  • digixdaoDigixDAO (DGD) $ 25.40
  • steemSteem (STEEM) $ 0.142914
  • zencashHorizen (ZEN) $ 5.58
  • bittorrent-2BitTorrent (BTT) $ 0.000223
  • v-systemsV.SYSTEMS (VSYS) $ 0.022939
  • bitsharesBitShares (BTS) $ 0.016277
  • hshareHyperCash (HC) $ 0.960242
  • bytecoinBytecoin (BCN) $ 0.000230
  • komodoKomodo (KMD) $ 0.356659
  • republic-protocolREN (REN) $ 0.046127
  • zilliqaZilliqa (ZIL) $ 0.003809
  • vergeVerge (XVG) $ 0.002456
  • quant-networkQuant (QNT) $ 3.97
  • iostokenIOST (IOST) $ 0.002996
  • seeleSeele (SEELE) $ 0.049375
  • decentralandDecentraland (MANA) $ 0.025675
  • aeternityAeternity (AE) $ 0.096411
  • celsius-degree-tokenCelsius Network (CEL) $ 0.073775
  • golemGolem (GNT) $ 0.033646
  • ardorArdor (ARDR) $ 0.032448
  • bmaxBitmax Token (BTMX) $ 0.038856
  • zcoinZcoin (XZC) $ 3.08
  • loopringLoopring (LRC) $ 0.026409
  • matic-networkMatic Network (MATIC) $ 0.010954
  • chilizChiliz (CHZ) $ 0.006275
  • gxchainGXChain (GXC) $ 0.456852
  • rif-tokenRIF Token (RIF) $ 0.050079
  • aelfaelf (ELF) $ 0.059216
  • stratisStratis (STRAT) $ 0.263332
  • ripio-credit-networkRipio Credit Network (RCN) $ 0.052148
  • digitex-futures-exchangeDigitex Futures Exchange (DGTX) $ 0.030537
  • pundi-xPundi X (NPXS) $ 0.000112
  • you-chainYOU Chain (YOU) $ 0.033006
  • usdkUSDK (USDK) $ 1.00
  • swipeSwipe (SXP) $ 0.385528
  • maidsafecoinMaidSafeCoin (MAID) $ 0.051684
  • arkArk (ARK) $ 0.155579
  • iexec-rlciExec RLC (RLC) $ 0.297245
  • crypteriumCrypterium (CRPT) $ 0.242887
  • electroneumElectroneum (ETN) $ 0.002020
  • solve-careSOLVE (SOLVE) $ 0.056623
  • yuan-chain-coinYuan Chain Coin (YCC) $ 0.005788
  • neon-exchangeNash Exchange (NEX) $ 0.729919
  • bit-z-tokenBit-Z Token (BZ) $ 0.141393
  • grinGrin (GRIN) $ 0.453403
  • tomochainTomoChain (TOMO) $ 0.242584
  • lambdaLambda (LAMB) $ 0.011914
  • nulsNuls (NULS) $ 0.195914
  • elastosElastos (ELA) $ 1.12
  • factomFactom (FCT) $ 1.76
  • beamBEAM (BEAM) $ 0.268829
  • saiSai (SAI) $ 1.02
  • enigmaEnigma (ENG) $ 0.107983
  • xmaxXMax (XMX) $ 0.000326
  • metaverse-etpMetaverse ETP (ETP) $ 0.109334
  • telosTelos (TLOS) $ 0.021495
  • fantomFantom (FTM) $ 0.003032
  • maximineMaximine (MXM) $ 0.001166
  • auroraAurora (AOA) $ 0.001174
  • erc20ERC20 (ERC20) $ 0.019788
Закрыть
Закрыть