I ricercatori di ESET hanno individuato ed esaminato un nuovo e sofisticato tipo di malware che finora ha colpito mezzo milione di utenti.
Questo malware poco appariscente soprannominato Stantinko, nell’analisi tecnica di ESET, spinge le vittime a scaricare software pirata da falsi siti torrent ed è costantemente mutato negli ultimi cinque anni per evitare di essere rilevato. Prendendo di mira principalmente gli utenti di lingua Russa, Statinko è una rete di bot che crea profitti installando delle estensioni nei browser così da poter visualizzare falsi annunci pubblicitari durante la navigazione Web. Quando si installa su una macchina può effettuare un’enorme quantità di ricerche anonime su Google e creare degli account su Facebook che possono mettere “Mi piace” sulle immagini, sulle pagine e addirittura aggiungere amici.
Una ‘Backdoor Modulare’
La capacità di Stantinko di evitare la rilevazione degli antivirus si basa su sofisticate tecniche di offuscamento e sulla possibilità di nascondersi dietro ai codici che sembrano legittimi. Usando tecniche avanzate, il codice pericoloso viene crittografato in un file o nel Registro di Windows. Successivamente il malware lo decodifica utilizzando una chiave generata durante l’iniziale compromissione. Il suo comportamento pericoloso non può essere rilevato fin quando non riceve nuovi componenti dal suo server di comando e controllo, il che rende estremamente difficile rilevarlo in un sistema infettato.
Una volta che una macchina è stata compromessa, il malware installa due servizi Windows pericolosi che vengono eseguiti automaticamente a ogni avvio del sistema. “È difficile sbarazzarsene una volta che si viene infettati, perché ogni servizio di cui è composto ha la capacità di reinstallare gli altri nel caso venissero eliminati dal sistema. Per risolvere del tutto il problema, l’utente deve eliminare contemporaneamente entrambi i servizi,” come spiega Frédéric Vachon, ricercatore malware di ESET.
Dopo essere penetrato nel sistema, Stantinko installa due plugin per il browser, entrambi disponibili sullo Store Web di Google Chrome – ‘The Safe Surfing’ e ‘Teddy Protection.’ “Tutti e due i plugin erano ancora disponibili online durante la nostra analisi,” Marc-Etienne Léveillé, ricercatore malware senior di ESET. “A prima vista, sembrano delle estensioni per il browser legittime che addirittura hanno un sito Web. Tuttavia, quando vengono installate da Stantinko, le estensioni ricevono una configurazione differente che contiene delle regole per generare clic fraudolenti e per inserire annunci pubblicitari non desiderati.”
Dopo aver completato l’infezione malware, gli operatori di Stantinko sono in grado di usare questi plugin per ottenere il pieno controllo del sistema compromesso. Ciò include la possibilità di effettuare un’enorme quantità di ricerche anonime per trovare siti sviluppati con Joomla e WordPress, l’esecuzione di attacchi brute force su questi siti, recuperare e sottrarre dati e creare falsi account su Facebook.
Gli hacker dietro a Stantinko in che modo riescono a guadagnarci denaro?
Grazie alla capacità di generare dei clic fraudolenti Stantinko può rivelarsi molto remunerativo per i criminali. Una ricerca condotta da White Ops e dall’Association of National Advertisers negli Stati Uniti ha stimato che i clic fraudolenti quest’anno causeranno alle aziende circa 6,5 miliardi di dollari di danni.
Le informazioni relative ai siti che sono stati vittima degli attacchi brute force condotti da macchine infettate da Stantinko, che ne individuano le password provando migliaia di credenziali differenti, possono essere rivendute nel mercato nero. Sebbene i ricercatori di ESET non abbiano riscontrato attività pericolose sul social network, gli operatori di Stantinko possiedono uno strumento che gli consente di eseguire attività fraudolente su Facebook, come per esempio vendere i “Mi piace” per catturare illegittimamente l’attenzione degli ignari consumatori.
I plugin Safe Surfing e Teddy Protection sono in grado di inserire messaggi pubblicitari o dirottare la navigazione dell’utente. “Questo permette agli operatori di Stantinko di essere pagati per tutto il traffico che riescono a generare su questi annunci. Abbiamo addirittura scoperto che gli utenti in alcuni casi vengono dirottati dagli annunci di Stantinko direttamente sul sito Web pubblicitario,” conclude Matthieu Faou, ricercatore malware di ESET.
Lascia un commento