Dubai,
UAE, 24 July 2017: ESET, a global leader in cybersecurity, has investigated
and identified a complex threat posed by a new strain of malware that has so
far affected half a million users.
Dubbed
as Stantinko, ESET’s latest white paper analyzes this highly inconspicuous
malware which tricks victims into downloading pirated software from fake
torrent sites, and that has continually morphed to avoid detection for the last
five years. Targeting mainly Russian speakers, Stantinko is a network of bots
which is monetized by installing browser extensions that inject fake ads while
surfing the web. Once installed on a
machine it can perform massive Google searches anonymously and create fake
accounts on Facebook; with the capability to like pictures, pages and add
friends.
A ‘Modular
Backdoor’
Stantinko’s
ability to evade anti-virus detection relies upon heavy obfuscation and hiding
in plain sight inside code that looks legitimate. Using advanced techniques,
malicious code is hidden either encrypted in a file or in the Windows Registry.
It is then decrypted using a key generated during the initial compromise. Its
malicious behavior can’t be detected until it receives new components from its
command and control server, making it
difficult to uncover.
Once a
machine is infected, it installs two harmful Windows services that launch every
time the system is started. “It is difficult to get rid of once you have it, as
each component service has the ability to reinstall the other in case one of
them is deleted from the system. To fully eliminate the problem, the user has
to delete both services from their machine at the same time,” explains Frédéric
Vachon, Malware Researcher at ESET.
Once
inside a device Stantinko installs two browser plugins, both available on the
Google Chrome Web Store – ‘The Safe Surfing’ and ‘Teddy Protection.’ “Both
plugins were still available online during our analysis,” Marc-Etienne
Léveillé, Senior Malware Reseracher at
ESET. “At first sight, they look like legitimate browser extensions and even
have a website. However, when installed by Stantinko, the extensions receive a
different configuration containing rules to perform click-fraud and ad
injection.”
Once the
malware has infiltrated, Stantinko’s operators can use flexible plugins to do
anything they wish with the compromised system. These include conducting
massive anonymous searches to find Joomla and WordPress sites, performing brute
force attacks on these sites, finding and stealing data, and creating fake
accounts on Facebook.
How do
Stantinko hackers make money?
Stantinko
has the potential to be very lucrative as click fraud is a major source of
revenue for hackers. Research
conducted by White Ops and the Association of National Advertisers in the
US estimated click fraud will cost businesses $6.5 billion this year alone.
Details
of the sites victim to brute force attacks can also be sold on the underground
market after it is compromised by Stantinko, which guesses the passwords by
trying thousands of different credentials. Although ESET Researchers couldn’t
witness the malicious activity on the social network, operators of Stantinko
have a tool that allows them to perform fraud on Facebook, selling ‘likes’ to
illegitimately capture the attention of unsuspecting consumers.
The Safe
Surfing and Teddy Protection plugins are able to inject adverts or redirect the
user. “It allows Stantinko operators to be paid for the traffic they provide to
these adverts. We even found users would reach the advertiser’s website
directly through Stantinko-owned ads,” concludes Matthieu Faou, Malware
Researcher at ESET.
إسيت تحذر من برمجية ضارة مخفية تؤثر على 500 ألف مستخدم
دبي، الإمارات
العربية المتحدة، 24 يوليو 2017: أعلنت ’إسيت‘، الشركة العالمية الرائدة في مجال الأمن
الرقمي، عن إجرائها لتحقيقات أدت لاكتشاف وتحديد تهديد معقد ناجم عن سلالة جديدة
من البرمجيات الضارة أصابت أجهزة نصف مليون مستخدم حتى الآن.
وتحلل أحدث الأوراق البحثية التي أصدرتها
’إسيت‘ هذه البرمجيات الخبيثة، التي سميت ’ستانتينكو‘ (Stantinko)،
التي تتسم بقدر كبير من الغموض وتتحايل على الضحايا لتحميل برمجيات مقرصنة من
مواقع ’تورنت‘ (torrent)
وهمية، حيث دأبت هذه البرمجيات على التحول بشكل مستمر لتفادي اكتشافها على مدى
السنوات الخمس الماضية. ومع استهدافها بشكل رئيسي للمتحدثين باللغة الروسية، تمثل
’ستانتينكو‘ شبكة من الأجهزة المُخترَقَة (بوت نت) التي يتم كسب الأموال منها من
خلال تثبيت ملحقات برامج التصفح التي تضخ إعلانات وهمية أثناء تصفح الإنترنت.
وبمجرد تثبيتها على الجهاز، يمكن لهذه البرمجيات إجراء عمليات بحث ضخمة ومجهولة
الهوية باستخدام محرك البحث ’جوجل‘، فضلاً قدرتها على إنشاء حسابات وهمية على موقع
’فيسبوك‘؛ مع القدرة على تسجيل الإعجاب بالصور والصفحات وإضافة الأصدقاء.
برمجية خبيثة
مستترة قياسية (Modular
Backdoor)
تستند قدرة برمجية ’ستانتينكو‘ على تجنب
اكتشافها من قبل برامج مكافحة الفيروسات على قدرات تشويش وتخفي عالية على مرأى هذه
البرامج ضمن تعليمات برمجية تبدو سليمة. وباستخدام التقنيات المتقدمة، يتم إخفاء
هذه التعليمات البرمجية الخبيثة بصورة مشفرة ضمن أحد الملفات أو ضمن ملفات التسجيل
الخاصة بنظام ’ويندوز‘. وبعد ذلك، يتم فك تشفير هذه التعليمات باستخدام مفتاح تم
إنشاؤه أثناء دخول هذه البرمجية الخبيثة للجهاز للمرة الأولى. ولا يمكن اكتشاف
السلوك الخبيث لهذه البرمجيات حتى تتلقى مكونات جديدة من مخدم السيطرة والتحكم، ما
يجعل اكتشافها غاية في الصعوبة.
وبمجرد إصابة الجهاز، تقوم هذه البرمجيات
بتثبيت اثنتين من خدمات ’ويندوز‘ الضارة التي يبدأ تشغيلها في كل مرة يتم فيها
تشغيل النظام. وبهذا الصدد، قال فريدريك فاشون، باحث في البرمجيات الضارة لدى شركة
’إسيت‘: "من الصعب التخلص من هذه البرمجيات بعد إصابة الجهاز بها، إذ أن كل منها
قادرة على إعادة تثبيت الأخرى في حال حذفها. وللتخلص من المشكلة بشكل كامل، يتعين
على المستخدم حذف كلتا الخدمتين من الجهاز في ذات الوقت".
وبمجرد دخولها إلى الجهاز، تقوم برمجية
’ستانتينكو‘ بتثبيت اثنين من ملحقات برنامج المتصفح المتوفرة على متجر ’جوجل كروم‘
الإلكتروني – وهي (The Safe Surfing) و(Teddy
Protection). وبدوره، قال
مارك-إتيان ليفييه، كبير باحثي البرمجيات الخبيثة لدى ’إسيت‘: "تبدو هذه
البرمجيات، للوهلة الأولى، وكأنها ملحقات مشروعة لبرنامج المتصفح، حتى أنها تمتلك
مواقعاً إلكترونيةً خاصةً بها. ومع ذلك، عند تثبيتها عبر ’ستانتينكو‘، تتلقى
الملحقات إعداداً مختلفاً يتضمن قواعداً لتنفيذ عمليات احتيال من خلال الضغط على
الإعلانات وضخ الإعلانات".
وحال تسلل البرمجيات الضارة، يمكن لمشغلي
’ستانتينكو‘ استخدام ملحقات مرنة للقيام بأي شيء يرغبون به على النظام المخترق. ويشمل
ذلك إجراء عمليات بحث ضخمة ومجهولة الهوية للعثور على موقعي (Joomla)
و(WordPress)
وإطلاق هجمات القوة العمياء (brute
force attacks) على هذه
المواقع والعثور على البيانات وسرقتها وإنشاء حسابات وهمية على موقع ’فيسبوك‘.
كيف يجني
قراصنة ’ستانتينكو‘ الأموال؟
يمكن لبرمجية ’ستانتينكو‘ أن تكون مربحةً
للغاية باعتبار أن الاحتيال بالضغط على الإعلانات (click fraud)
يعتبر مصدر الدخل الرئيسي للقراصنة. وقدرت الأبحاث التي أجرتها شركة ’وايت
أوبس‘ (White
Ops) و’جمعية المعلنين الوطنيين‘ (Association of
National Advertisers) في الولايات المتحدة أن عمليات الاحتيال بواسطة الضغط على الإعلانات
ستكبد الشركات 6.5 مليار دولار أمريكي خلال العام الجاري فقط.
وبالإضافة إلى ذلك، يمكن أن تباع تفاصيل
المواقع التي وقعت ضحية لهجمات القوة العمياء في السوق السوداء بعد اختراقها ببرمجية
’ستانتينكو‘ التي تقوم بتخمين كلمات المرور بتجربة آلاف كلمات المرور المختلفة.
وبالرغم من عدم قدرة باحثي ’إسيت‘ على مشاهدة هذا النشاط الخبيث على الشبكة
الاجتماعية، يمتلك مشغلو ’ستانتينكو‘ أداةً تسمح لهم بإجراء عمليات الاحتيال على
موقع ’فيسبوك‘ وبيع تسجيلات الإعجاب لاستقطاب انتباه المستهلكين غير المتنبهين.
وعلاوةً على ذلك، تتمتع ملحقات (The Safe Surfing)
و(Teddy Protection)
بالقدرة على ضخ الإعلانات أو إعادة توجيه المستخدم. ومن جهته، قال ماثيو فاو، باحث
البرمجيات الخبيثة لدى ’إسيت‘: "تسمح هذه الملحقات لمشغلي برمجية ’ستانتينكو‘
بتلقي الأموال لقاء حركة المرور التي تقدمها لهذه الإعلانات. كما وجدنا أن بعض
المستخدمين يصلون إلى الموقع الإلكتروني الخاص بالمعلن بصورة مباشرة من خلال
إعلانات مملوكة لبرمجية ’ستانتينكو‘".