Πώς λειτουργεί το νέο malware;
Νέο malware έχει μολύνει μισό εκατομμύριο χρήστες
Μία νέα πολύπλοκη απειλή, η οποία προέρχεται από ένα νέο στέλεχος κακόβουλου λογισμικού και έχει επηρεάσει μέχρι στιγμής μισό εκατομμύριο χρήστες, έχουν θέσει στο μικροσκόπιο τους οι ερευνητές. Ο τρόπος δράσης του κακόβουλου λογισμικού, με την ονομασία Stantinko ξεγελά τα θύματα να κατεβάζουν πειρατικό λογισμικό από πλαστούς ιστότοπους torrent, ενώ το ίδιο κατορθώνει εδώ και πέντε χρόνια να μεταμορφώνεται συνεχώς, καθιστώντας δύσκολη την ανίχνευσή του.
Σύμφωνα με όσα αναφέρονται σε πρόσφατο white paper της ESET, το malware, στοχεύοντας κυρίως χρήστες που μιλούν ρωσικά, αποτελεί ένα δίκτυο bot, που κερδίζει έσοδα εγκαθιστώντας επεκτάσεις προγραμμάτων περιήγησης, οι οποίες εμφανίζουν ψεύτικες διαφημίσεις κατά την περιήγηση στο διαδίκτυο. Αφού εγκατασταθεί σε ένα μηχάνημα, το Stantinko μπορεί ανώνυμα να πραγματοποιήσει μαζικές αναζητήσεις στο Google και να δημιουργήσει ψεύτικους λογαριασμούς στο Facebook, οι οποίοι έχουν τη δυνατότητα να προσθέτουν φίλους και να κάνουν “like” σε εικόνες και σελίδες.
Όπως σημειώνεται στο white paper της ESET, το Stantinko χρησιμοποιεί ισχυρές τεχνικές για να ξεφεύγει του εντοπισμού και μπορεί να κρύβεται σε απλό κώδικα, ο οποίος φαίνεται νόμιμος. Χρησιμοποιώντας προηγμένες μεθόδους, ο κακόβουλος κώδικας μπορεί να κρυφτεί ή να κρυπτογραφηθεί σε ένα αρχείο, είτε στο μητρώο των Windows. Στη συνέχεια αποκρυπτογραφείται χρησιμοποιώντας ένα κλειδί που δημιουργείται κατά την αρχική παραβίαση. Η κακόβουλη συμπεριφορά του δεν μπορεί να ανιχνευθεί μέχρι να λάβει νέα στοιχεία από τον διακομιστή Command-and-Control, γεγονός που καθιστά δύσκολη την αποκάλυψή του.
Στα μηχανήματα που έχουν μολυνθεί, εγκαθίστανται δύο υπηρεσίες των Windows με βλαβερό περιεχόμενο, που ξεκινούν αυτόματα με την έναρξη του συστήματος. Μόλις το Stantinko διεισδύσει σε έναν υπολογιστή, οι χειριστές του μπορούν να χρησιμοποιήσουν ευέλικτα plugins για να κάνουν ό, τι θέλουν με το παραβιασμένο σύστημα, όπως να πραγματοποιήσουν ανώνυμα μαζικές αναζητήσεις για την εύρεση ιστότοπων Joomla και WordPress, να επιτεθούν σε αυτούς, να βρουν και να υποκλέψουν δεδομένα και να δημιουργήσουν ψεύτικους λογαριασμούς στο Facebook.
Πώς κερδίζουν χρήματα οι χάκερ
Το Stantinko εμφανίζει μεγάλες δυνατότητες για κέρδη, καθώς οι επιθέσεις “click fraud” αποτελούν μια σημαντική πηγή εσόδων για τους χάκερ. Σύμφωνα με έρευνα της White Ops και του Συνδέσμου Διαφημιζομένων στις ΗΠΑ εκτιμάται ότι οι επιθέσεις click fraud μόνο για φέτος στοίχισαν στις επιχειρήσεις 6,5 δισεκατομμύρια αμερικάνικα δολάρια.
Δεδομένα από τους ιστότοπους που παραβιάζονται από τον Stantinko μπορούν επίσης να πωληθούν στην “μαύρη” αγορά, αφού το malware μπορεί να μαντέψει τους κωδικούς πρόσβασης προσπαθώντας χιλιάδες διαφορετικούς συνδυασμούς. Παρ’ όλο που οι ερευνητές της ESET δεν μπόρεσαν να παρακολουθήσουν την κακόβουλη δραστηριότητα στα κοινωνικά δίκτυο, οι δημιουργοί του Stantinko διαθέτουν ένα εργαλείο που τους επιτρέπει να εκτελούν απάτες στο Facebook, πουλώντας παράνομα “likes” για να προσελκύουν την προσοχή ανυποψίαστων καταναλωτών.
