Злоумышленники за крипто майнинга ботнет Stantinko разработали некоторые хитроумные методы, чтобы избежать обнаружения.

Аналитик Владислав Hrčka с обеспечением кибербезопасности фирма ESET звучал почти впечатлен, как он обнародовал последние данные фирмы, а также возможные контрмеры, в своем блоге. “Преступников ботнет Stantinko постоянно совершенствуют и разрабатывают новые модули, которые часто содержат нестандартные и интересные методы”, – написал он.

Половина-миллионный ботнет действует с 2012 года и распространялся с помощью вредоносных программ, внедренных на пиратский контент. Он главным образом ориентирован на пользователей из России, Украины, Белоруссии и Казахстана. Она изначально ориентирована на клики, инъекции объявление, мошенничество, социальные сети и кражи паролей атаки. Однако, в середине 2018 года, добавил он майнинга крипто в своем арсенале с горнодобывающей модуль Монер.

Диспетчер задач не поможет

Модуль имеет компоненты, которые обнаруживают программного обеспечения безопасности и закрыть любой конкурирующий добычи крипто. Голодные модуль питания исчерпает большую часть ресурсов компьютера, но умело приостанавливает добычи, чтобы избежать обнаружения в момент, когда пользователь открывает Диспетчер задач, чтобы выяснить, почему компьютер работает так медленно.

Чтобы отключить.Stantinko не общается с пулом для майнинга напрямую, а не через прокси, IP-адреса приобретаются из текста описания видео YouTube вместо.

Постоянно совершенствуем технологии

Компания ESET выпустила в прошлом году свой первый доклад по горнодобывающей модуль крипто в ноябре, но с тех пор появились новые методы, чтобы избежать обнаружения, которые были добавлены, в том числе:

Обфускация строк – осмысленные строки построены и представлены только в памяти, когда они должны быть usedDead строк и ресурсов добавление ресурсов и струны не влияет на functionalityControl-поток запутывания – преобразования потока управления в трудно читать форма и что делает порядок выполнения базовых блоков unpredictableDead код – код, который не выполняется, единственная цель которых-сделать файлы более legitimateDo-ничего код – дополнение кода, который выполняется, но ничего не делает. Это способ обойти поведенческого обнаружения

В ноябрьском докладе Hrčka отметил:

“Этот модуль наиболее заметным признаком является так оно и есть запутывание, чтобы помешать анализу и избежать обнаружения. За счет использования обфускации исходного уровня с зерном случайность и тот факт, что операторы Stantinko компиляции этого модуля для каждой новой жертвой, каждый образец модуля является уникальным”.

Веб-крипто угона уменьшается после выключения Coinhive

Новости по теме: исследователи из Университета Цинциннати и Университета Лейкхед в Онтарио, Канада на этой неделе выпустила документ под названием: “Это Cryptojacking умер после Coinhive остановки?”

В Coinhive скрипт был установлен на веб-сайтах и либо открыто, либо тайно, добывают Монер — пока большой падение цен на Монер в крипто зима’ сделал его невыгодным и операцию свернули.

Исследователи проверили сайты 2770, которые ранее были определены как работает майнинг крипто скрипты, чтобы увидеть, если они были больны. В то время как только 1% активно майнинг криптовалют, еще 11.6% все еще работает Coinhive скрипты, которые пытаются подключиться к мертвым сервера операции.

Исследователи пришли к выводу:

“Cryptojacking не заканчиваются после Coinhive закрыли. Он еще жив, но не так привлекательно, как это было раньше. Он стал менее привлекательным не только потому, что Coinhive прекращено их обслуживание, но и потому, что он стал менее привлекательным источником дохода для владельцев веб-сайтов. Для большинства сайтов, объявления по-прежнему более выгодно, чем добыча.”