Исследователи словацкой антивирусной компании ESET обнаружили adware-кампанию Stantinko, успешно действующую с 2012 года.
С 2015 года злоумышленникам удалось заразить более 500 000 устройств. Больше всего пострадавших в Украине (33%) и России (46%), пишут novostiit
Разработчики Stantinko монетизируют ботнет через установку расширений для браузера Chrome, которые вставляют рекламу и занимаются кликфродом (кликанием на рекламные объявления без ведома зараженного пользователя).
Читайте также: Экспорт российского программного обеспечения в 2017 году может вырасти на 15,4%, – исследование
Однако вредоносный сервис Windows, который устанавливается на компьютер жертвы, позволяет хакерам выполнять любые действия.
Исследователи отмечали случаи установки бота, проводившего массовый поиск в Google; инструмента для брутфорс-атак на панели администраторов Joomla и WordPress, с целью их взлома и продажи; полноценного бэкдора для управления зараженной системой.
Обнаруженная кампания также примечательна тем, что злоумышленникам удалось скрывать активность вредоносного ПО в течение пяти лет. Исследователи отметили старательную обфускацию (запутывание) и шифрования вредоносного кода и структуру вредоносного ПО, которое позволяло избежать обнаружения антивирусами долгие годы.
Загрузка Stantinko (вместе с сервисами Mail.Ru вроде браузера Amigo) на компьютер жертвы происходит через еще одно вредоносной ПО — FileTour. Оно, в свою очередь, распространяется через сайты с пиратским ПО вроде Microsoft Office или играми вроде Grand Theft Auto V иногда под видами торрент-файлов. FileTour устанавливает множество программ, отвлекая внимание пользователя от загрузки компонентов Stantinko, которая происходит в фоновом режиме.
Главная функциональность Stantinko — установить два браузерных расширения для Chrome: The Safe Surfing и Teddy Protection. На момент проведения исследования ESET оба были доступны в магазине Chrome, однако сейчас уже удалены. На первый взгляд они выглядят как легитимные расширения, блокирующие нежелательные ссылки. Но во время установки они получают специальную конфигурацию, позволяющую заниматься кликфродом и встраиванием рекламы.
На видео видно, как с установленным The Safe Surfing при клике на ссылку в Rambler пользователь перенаправляется на другой сайт.
Перенаправление пользователя или встраивание рекламы позволяет операторам Stantinko зарабатывать на трафике, который они предоставляют рекламодателям. Кликфрод — одно из наиболее прибыльных занятий для киберпреступников. Согласно исследованию компании White Ops и Ассоциации национальных рекламодателей общий объем рынка кликфрода в 2017 году составит $6,5 млрд.
У Stantinko также есть специальный модуль для Facebook, который позволяет создавать через зараженные компьютеры аккаунты в соцсети, лайкать страницы и добавлять в друзья. Махинации с Facebook действительно выгодны, поскольку 1 000 лайков могут стоить около $15, хотя они и генерируются ботами.
Еще один способ заработка злоумышленников — использование ботнета из зараженных компьютеров для взлома панелей администраторов сайтов на базе Joomla или WordPress. С помощью специального модуля, устанавливаемого на компьютер жертвы, хакеры проводили брутфорс-атаки, пытаясь методом перебора найти пароль учетной записи администратора. При успешном взломе, данные могли перепродаваться в дарквебе.
В полном тексте исследования ESET (PDF) содержится список из взломанных сайтов, среди которых есть несколько украинских. К примеру, сайт Первомайского политехнического института, использующий Joomla. В конце текста также имеется список файлов, ассоциирующихся с Stantinko. Но главным индикатором заражения является наличие расширений Teddy Protection и The Safe Surfing в браузере Chrome.