Stantinko: Uma campanha massiva de adware que ataca em segredo desde 2012

0
30

A ESET investigou e identificou uma ameaça complexa que surge de uma nova estirpe de malware que já afetou até agora meio milhão de utilizadores.

Com o nome de código Stantinko, este malware leva as vítimas a descarregarem software pirata através de sites de torrents falsos e tem-se vindo a transformar continuamente nos últimos cinco anos para escapar à deteção.

Eis um vídeo de um utilizador a descarregar e a executar o ficheiro malicioso:

Muito popular na Rússia, o Stantinko consiste numa rede de bots que ganha dinheiro através da instalação de extensões de browser nos computadores das vítimas que injectam anúncios falsos quando os utilizadores estão a navegar na Internet. Para além disso, assim que chegam a um computador conseguem realizar diversas pesquisas na Google de forma anónima e também criar contas falsas no Facebook; estes perfis têm ainda a capacidade de colocarem gostos em fotografias, páginas e adicionar amigos.

Uma Backdoor modular

A habilidade do Stantinko conseguir escapar à detecção antivírus depende de uma forte ofuscação e por se misturar no meio de código que parece legítimo. Ao utilizar técnicas avançadas, o código malicioso está escondido e encriptado num ficheiro ou no registo do Windows. Posteriormente, é desencriptado através de uma chave gerada durante o processo inicial. Importa salientar que o comportamento malicioso não pode ser detetado até receber novos componentes do servidor de comando e controlo, o que dificulta a descoberta.

Quando uma máquina é infetada, instala dois serviços maliciosos no Windows que são executados sempre que o sistema é iniciado. “É difícil lidarmos com esta ameaça uma vez que ao eliminarmos um serviço, o que ficou residente volta a instalá-lo. Para se resolver de vez o problema é necessário excluir ambos os serviços da máquina em simultâneo”, explica Frédéric Vachon, investigador de malware da ESET.

Em paralelo, o Stantinko instala ainda dois plugins no browser, ambos disponíveis na Google Chrome Web Store – ‘The Safe Surfing’ e ‘Teddy Protection.’ Segundo Marc-Etienne Léveillé, investigador Senior da ESET, “À primeira vista, parecem extensões de browser legítimas e até têm um site. No entanto, quando instaladas pelo Stantinko, as extensões recebem uma configuração diferente e contêm regras para executar diversas fraudes”.

Na prática e após ocorrer a infiltração de malware, os operadores do Stantinko utilizam os plugins flexíveis para fazerem o que querem no sistema comprometido. Isto inclui pesquisas massivas no Google para encontrar sites em Joomla e WordPress, ataques de brute force a esses sites, roubo de dados e até a criação de contas falsas no Facebook.

Como fazem dinheiro?

O Stantinko consegue ser muito luvrativo uma vez que as fraudes relacionadas com cliques são uma das principais fontes de rendimento para os criminosos. Uma investigação efetuada pela White Ops e a Associação de Publicidade Americana concluiu que este tipo de fraude custa às empresas 6.5 mil milhões de dólares, só este ano nos Estados Unidos.

Em paralelo os detalhes das vítimas podem ser vendidos nos mercados paralelos o que garante uma fonte de rendimento adicional.

Mais informações acerca desta ameaça podem ser encontradas no WhiteHat disponível aqui.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

*