Stantinko Botnet ahora está explorando criptomonedas a través de YouTube

Stantinko, el popular grupo de malware que es famoso por infectar al menos medio millón de computadoras en todo el mundo, ahora ha agregado una nueva técnica a su cartera. Resultó que los estafadores se están aprovechando de Descripción de YouTube para comunicarse y extraer criptomonedas para beneficiarse.

El módulo de usos múltiples

Los investigadores de seguridad de ESET primero revelaron este hecho y lo detallaron en su Blog. El grupo Stantinko ha sido famoso por las inyecciones de anuncios, el robo de contraseñas, el cebo de clics y por afectar a países como Rusia, Ucrania, Bielorrusia, etc. para tu receta. Desde su creación en 2012, se estima que infectó más de 500.000 sistemas en todo el mundo.

Stantinko Botnet ahora está explorando criptomonedas a través de YouTube
Imagen de Pxfuel

Con ese registro, Stantinko ahora se encuentra extrayendo criptomonedas utilizando los recursos informáticos de las víctimas. Aunque esto pueda parecer común hoy en día, los métodos de ofuscación de Stantinko son muy apreciados por esconderse de las detecciones y lo que las hace notables.

El módulo que descarga se considera una versión muy modificada del xmr-stak, Donde Stantinko tiene un criptominer para acuñar monedas, software de detección para alertar el proceso de minería, suspender las operaciones si se sospecha algo y matar a otro criptominer competidor. El paquete se entregó y se comunica con los atacantes mediante algoritmos basados ​​en la descripción de YouTube. Inteligente, ¿no es así?

Aprovechando las descripciones de YouTube

En el corazón de la cripto minería, existe un proceso de hash en el que el minero (CoinMiner.Stantinko) se comunica con el atacante indirectamente a través de proxies. Estos poderes se eliminan de la descripción de YouTube.

Posteriormente, se informó a YouTube y se retiró del aire. Aquí, descarga el algoritmo hash y lo almacena en disco para operaciones futuras, como cambiarlo para adaptar la minería para una mejor criptomoneda. Y almacenar este algoritmo en disco dificulta la detección por parte del software antivirus.

Los investigadores dijeron: “Las cadenas y funciones restantes están muy eclipsadas. Los productos de seguridad de ESET detectan este malware como Win {32,64} /CoinMiner.Stantinko. Debido al uso de ofuscaciones a nivel de fuente con un grano de aleatoriedad y al hecho de que los operadores de Stantinko compilan este módulo para cada nueva víctima, cada muestra del módulo es única. »

Además de hacer esto, se colocan detectores para localizar software antivirus para esconderse y alertar cuando la batería de la PC se desconecta o se ejecuta el administrador de tareas para evitar las sospechas de la víctima.

Fuente – WeLiveSecurity