Определены компоненты, мешающие обнаружению майнинг-ботнета Stantinko
Стоящие за разработкой майнингового ботнета Stantinko хакеры прибегают к оригинальным методам для маскировки активности своего вредоноса. Об этом сообщили аналитики специализирующейся на кибербезопасности компании ESET.
Модули ботнета умеют обнаруживать антивирусы на устройстве жертвы и принудительно завершать работу конкурирующих программ для скрытого майнинга. Несмотря на ресурсозатратность вредонос приостанавливает свою работу в момент запуска диспетчера задач, что усложняет его обнаружение на зараженном ПК.
Взаимодействие CoinMiner.Stantinko с майнинговым пулом происходит через прокси-серверы.
Чтобы выглядеть для системы более легитимным, ботнет использует метод мертвого кода; запутывание строк позволяет ему генерировать исполняемый код в памяти устройства непосредственно перед использованием, а запутывание команд управления делает непредсказуемым порядок выполнения основных блоков. Все это усложняет удаление ботнета из зараженной системы.
"Самая известная особенность этого модуля - это то, как он запутывает данные, чтобы помешать анализу и избежать обнаружения. Из-за использования генератора псевдослучайных чисел и того факта, что операторы Stantinko компилируют этот модуль для каждой новой жертвы, каждая выборка модуля уникальна", - отметили эксперты ESET.
Ботнет Stantinko активен с 2012 года и распространяется с помощью вредоносного ПО, встроенного в пиратский контент. Изначально он специализировался на рекламном мошенничестве, а к середине 2018 года в него был добавлен модуль для скрытого майнинга криптовалюты Monero.
