Исследователи словацкой антивирусной компании ESET обнаружили adware-кампанию Stantinko, успешно действующую с 2012 года. С 2015 года злоумышленникам удалось заразить более 500 000 устройств. Больше всего пострадавших в Украине (33%) и России (46%).
Разработчики Stantinko монетизируют ботнет через установку расширений для браузера Chrome, которые вставляют рекламу и занимаются кликфродом (кликанием на рекламные объявления без ведома зараженного пользователя).
Однако вредоносный сервис Windows, который устанавливается на компьютер жертвы, позволяет хакерам выполнять любые действия. Исследователи отмечали случаи установки бота, проводившего массовый поиск в Google; инструмента для брутфорс-атак на панели администраторов Joomla и WordPress, с целью их взлома и продажи; полноценного бэкдора для управления зараженной системой.
Обнаруженная кампания также примечательна тем, что злоумышленникам удалось скрывать активность вредоносного ПО в течение пяти лет. Исследователи отметили старательную обфускацию (запутывание) и шифрования вредоносного кода и структуру вредоносного ПО, которое позволяло избежать обнаружения антивирусами долгие годы.
Загрузка Stantinko (вместе с сервисами Mail.Ru вроде браузера Amigo) на компьютер жертвы происходит через еще одно вредоносной ПО – FileTour. Оно, в свою очередь, распространяется через сайты с пиратским ПО вроде Microsoft Office или играми вроде Grand Theft Auto V иногда под видами торрент-файлов. FileTour устанавливает множество программ, отвлекая внимание пользователя от загрузки компонентов Stantinko, которая происходит в фоновом режиме.
Главная функциональность Stantinko – установить два браузерных расширения для Chrome: The Safe Surfing и Teddy Protection. На момент проведения исследования ESET оба были доступны в магазине Chrome, однако сейчас уже удалены. На первый взгляд они выглядят как легитимные расширения, блокирующие нежелательные ссылки. Но во время установки они получают специальную конфигурацию, позволяющую заниматься кликфродом и встраиванием рекламы.
На видео видно, как с установленным The Safe Surfing при клике на ссылку в Rambler пользователь перенаправляется на другой сайт:
Перенаправление пользователя или встраивание рекламы позволяет операторам Stantinko зарабатывать на трафике, который они предоставляют рекламодателям. Кликфрод – одно из наиболее прибыльных занятий для киберпреступников. Согласно исследованию компании White Ops и Ассоциации национальных рекламодателей общий объем рынка кликфрода в 2017 году составит $6,5 млрд.
У Stantinko также есть специальный модуль для Facebook, который позволяет создавать через зараженные компьютеры аккаунты в соцсети, лайкать страницы и добавлять в друзья. Махинации с Facebook действительно выгодны, поскольку 1 000 лайков могут стоить около $15, хотя они и генерируются ботами.
Еще один способ заработка злоумышленников – использование ботнета из зараженных компьютеров для взлома панелей администраторов сайтов на базе Joomla или WordPress. С помощью специального модуля, устанавливаемого на компьютер жертвы, хакеры проводили брутфорс-атаки, пытаясь методом перебора найти пароль учетной записи администратора. При успешном взломе, данные могли перепродаваться в дарквебе.
В полном тексте исследования ESET (PDF) содержится список из взломанных сайтов, среди которых есть несколько украинских. К примеру, сайт Первомайского политехнического института, использующий Joomla.
В конце текста также имеется список файлов, ассоциирующихся с Stantinko. Но главным индикатором заражения является наличие расширений Teddy Protection и The Safe Surfing в браузере Chrome. Список установленных расширений можно увидеть здесь: chrome://extensions/. Исследователи также рекомендуют проверить наличие (нажать Windows + R, в окне написать Win+R, в открывшемся окне напечатать services.msc и нажать Enter) в системе следующих служб:
- Coupons Browser Update Service
- Ghostery Storage Server
- Bonjoiur Host Controller
- Windows Audio 5.1 Surround
- Biometric data protection service
- Service of streaming video decoding
- Service for diagnostics and optimization of SATA devices performance
- Service Control Panel themes
- Intel® Host Controller Interface (non-volatile memory)
Также Stantinko уже выявляет и удаляет бесплатный инструмент ESET Online Scanner. Полное выявление зловредного другими антивирусными вендорами редакции пока подтвердить не удалось.
Напомним, ранее мы публиковали инфографику с пошаговой инструкцией, показывающую как избавиться от тулбаров Mail.ru и «Яндекса».