Stantinko Botnet
On sait que le Stantinko Botnet est actif depuis 2012. Les cyber-escrocs derrière lui ont réussi à maintenir ce botnet actif pendant sept ans, ce qui est plutôt impressionnant. Il semblerait que la plupart des systèmes, qui font partie du Stantinko Botnet, sont situés dans des pays de l'ex-Union soviétique - Russie, Ukraine, Biélorussie, Kazakhstan, etc. Il a été estimé que le Stantinko Botnet est constitué de plus de 500 000 machines en panne. . La plupart des botnets sont utilisés pour les attaques DDoS (Distributed-Denial-of-Service). Cependant, l’intérêt du Stantinko Botnet est qu’en dépit de sa grande taille, ce botnet n’a pas encore été utilisé pour une attaque par DDoS. Au lieu de cela, les opérateurs du Stantinko Botnet l’ont utilisé dans diverses autres campagnes, notamment les spams de masse, la collecte de données confidentielles, les clics d’annonces factices, les fraudes, etc.
Table des matières
Le botnet Stantinko est utilisé pour l'exploitation minière Monero
Récemment, les opérateurs du Stantinko Botnet ont choisi d’ajouter une extraction de crypto-monnaie à leur liste de tâches. Ils utilisent un mineur de crypto-monnaie construit grâce à un projet open-source que les attaquants ont légèrement modifié. La plupart des menaces de ce type sont basées sur XMRig , mais les opérateurs du Stantinko Botnet ont plutôt choisi de modifier et d'utiliser le projet 'xmr-stak'. Le mineur utilisé par le botnet Stantinko sert à extraire la crypto-monnaie Monero. Les opérateurs du Stantinko Botnet ont veillé à obscurcir considérablement le module d’extraction pour rendre la dissection beaucoup plus complexe.
Récupère les adresses IP des descriptions de vidéos YouTube
Une autre astuce d’obfuscation utilisée par les opérateurs du Stantinko Botnet est la méthode de communication utilisée dans ses campagnes. Au lieu d'utiliser un pool d'exploration de données fixe, les créateurs de Stantinko Botnet ont choisi de récupérer les adresses IP à partir des descriptions des différentes vidéos YouTube téléchargées sur la plate-forme. Bien entendu, les adresses utilisées par Stantinko Botnet ne sont pas facilement disponibles mais doivent être décodées en premier.
Techniques d'auto-préservation
Pour garantir que leurs programmes malveillants utilisent toute la puissance de calcul de l'hôte compromis, les auteurs de cette menace ont inclus une fonctionnalité capable de détecter tout autre mineur de crypto-monnaie pouvant être présent sur le système. Si un autre mineur est détecté, le logiciel malveillant utilisé par les créateurs du Stantinko Botnet le résiliera. Il semblerait que les opérateurs du Stantinko Botnet aient également implémenté une technique de conservation automatique dans leur module de cryptomining. Le mineur est capable de déterminer si l'utilisateur a lancé le gestionnaire de tâches Windows et, le cas échéant, le module d'exploration de données cessera son activité. Ceci est fait pour éviter d'être repéré par la victime, car il sera évident que quelque chose ne va pas lorsque l'utilisateur voit combien de temps processeur est utilisé. Cette astuce rend l’observation de l’activité du mineur de la crypto-monnaie beaucoup plus difficile à repérer et la probabilité que la menace continue à fonctionner pendant une période plus longue. Le Stantinko Botnet est également capable de détecter toute application anti-malware pouvant être présente sur la machine compromise. Cependant, il est intéressant de noter qu'aucune mesure n'a été prise pour masquer l'activité préjudiciable de la menace, même s'il existe un logiciel anti-virus sur l'hôte infecté.
Les personnes louches derrière le botnet Stantinko réussissent bien à étendre leur réseau et à rester actives, même après sept années d’exploitation. Le botnet Stantinko a le potentiel de causer de graves problèmes et, après une longue période d'activité, il est peu probable que les criminels exploitant ce botnet aient l'intention de cesser leurs activités de si tôt.
