Дослідники словацької антивірусної компанії ESET виявили adware-кампанію Stantinko, успішно діє з 2012 року. З 2015 року зловмисникам вдалося заразити більше 500 000 пристроїв. Найбільше постраждалих в Україні (33%) і Росії (46%).
Про це пише UBR з посиланням на AIN.UA.
Розробники Stantinko монетизують ботнет через встановлення розширень для браузера Chrome, які вставляють рекламу і займаються кликфродом (кликанием на рекламні оголошення без відома зараженого користувача).
Однак шкідливий сервіс Windows, який встановлюється на комп'ютер жертви, дозволяє хакерам виконувати будь-які дії. Дослідники відзначали випадки встановлення бота, який проводив масовий пошук у Google; інструмент для брутфорс-атаки на панелі адміністраторів Joomla та WordPress, з метою їх злому і продажу; повноцінного бекдор для управління зараженої системою.
Розподіл зараження з 2015 року по країнам. Зображення: ESET
Виявлена кампанія також примітна тим, що зловмисникам вдалося приховувати активність шкідливого ПЗ протягом п'яти років. Дослідники відзначили старанну обфускацію (заплутування) і шифрування шкідливого коду і структуру шкідливого ПО, яке дозволяло уникнути виявлення антивірусами довгі роки.
Один з сайтів, що поширюють піратське ПЗ. При спробі завантажити продукцію Microsoft завантажується шкідливий додаток FileTour.
Завантаження Stantinko (разом з сервісами Mail.Ru зразок браузера Amigo) на комп'ютер жертви відбувається через ще одне шкідливої ПО — FileTour. Воно, у свою чергу, поширюється через сайти з піратським ПО кшталт Microsoft Office або іграми на зразок Grand Theft Auto V іноді під видами торрент-файлів. FileTour встановлює безліч програм, відволікаючи увагу користувача від завантаження компонентів Stantinko, яка відбувається у фоновому режимі.
Головна функціональність Stantinko — встановити два браузерних розширення для Chrome: The Safe Surfing і Teddy Protection. На момент проведення дослідження ESET обидва були доступні в магазині Chrome, проте зараз вже видалені. На перший погляд вони виглядають як легітимні розширення, блокуючи небажані посилання. Але під час установки вони отримують спеціальну конфігурацію, що дозволяє займатися кликфродом і вбудовуванням реклами.
На відео видно, як з встановленим The Safe Surfing при кліку на посилання в Rambler користувач перенаправляється на інший сайт:
Перенаправлення користувача або вбудовування реклами дозволяє операторам Stantinko заробляти на трафіку, який вони надають рекламодавцям. Клікфрод — одне з найприбутковіших занять для кіберзлочинців. Згідно з дослідженням компанії White Ops і Асоціації національних рекламодавців загальний обсяг ринку клікфрода в 2017 році складе $6,5 млрд.
У Stantinko також є спеціальний модуль для Facebook, який дозволяє створювати через заражені комп'ютери акаунти в соцмережі, лайкати сторінки і додавати в друзі. Махінації з Facebook дійсно вигідні, оскільки 1 000 лайків можуть коштувати близько $15, хоча вони і генеруються ботами.
Ще один спосіб заробітку зловмисників — використання ботнету з заражених комп'ютерів для злому панелей адміністраторів сайтів на базі Joomla або WordPress. За допомогою спеціального модуля, що встановлюється на комп'ютер жертви, хакери проводили брутфорс-атаки, намагаючись методом перебору знайти пароль облікового запису адміністратора. При успішному зломі, дані могли перепродаватися в дарквебе.
У повному тексті дослідження ESET (PDF) міститься список з зламаних сайтів, серед яких є кілька українських. Наприклад, сайт Первомайського політехнічного інституту, який використовує Joomla.
Решта новин