Эксперты ESET выявили ботсеть Stantinko, которая занимается рекламным мошенничеством. Как утверждают специалисты, сейчас около 500000 устройств входят в состав сети. Большая часть из них размещены в России и Украине.
Вредоносная программа Stantinko активно действует по крайней мере с 2012 года. По словам исследователей Stantinko является модульной троянской программой с функционалом бэкдора, которая смогла незаметно действовать в течение 5 лет благодаря зашифрованному коду и собственным защитным механизмам.
Несмотря на то, что Stantinko ведет себя как обычная рекламная программа, эксперты отметили сложную структуру кода Stantinko, которая по этому показателю становится в один ряд с утилитами профессиональных кибергруппировок, работающих по заказу правительства. Фактически Stantinko обладает комплексным и надежным механизмом инфицирования, а также задействует ряд плагинов, дающих возможность выполнять большой спектр команд на зараженных устройствах. Однако, прежде всего, операторы Stantinko желают получить финансовую выгоду: они предлагают услуги по обеспечению ложных переходов по рекламным ссылкам (кликфрод).
Распространение Stantinko осуществляется путем маскировки под пиратскую программу или посредством торрентов. Операторы Stantinko пользуются загрузчиком семейства FileTour, а также посредством установки ряда сторонних программ пытаются отвлечь пользователей от загрузки вредоносных компонентов, которая осуществляется в фоновом режиме.
Затем Stantinko осуществляет установку браузерных расширений The Safe Surfing и Teddy Protection, которые предназначены для несанкционированного показа рекламы, что приносит злоумышленникам доход. Данные расширения выглядели как легитимные и ранее были доступны в Chrome Web Store.
Stantinko может не только генерировать трафик, но и похищать информацию, осуществлять распределенный поиск Joomla- и WordPress-сайтов в Google, взламывать панели управления сайтов с помощью перебора паролей, создавать поддельные Facebook-аккаунты, совершая на их базе различные вредоносные действия.
Stantinko действуют скрытно для пользователя, поскольку программа никак не мешает работе компьютера. Кроме того, вредоносная программа с успехом обходит антивирусные решение и препятствует реверс-инжинирингу.
