باتنت Stantinko به کمک رمزنگاری که بر روی کد آن انجام شد و روشهای مختلفی که برای دور زدن نرمافزارهای امنیتی به کار برد به مدت پنج سال ناشناس باقی ماندهاست.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
باتنت Stantinko به کمک رمزنگاری که بر روی کد آن انجام شد و روشهای مختلفی که برای دور زدن نرمافزارهای امنیتی به کار برد به مدت پنج سال ناشناس باقی ماندهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیتی از شرکت ایست هشدار دادند که یک باتنت به مدت پنجسال ناشناخته باقی ماندهبود و اینک توانستهاست نزدیک به نیممیلیون ماشین را آلوده کند و بر روی این باتها هر کاری که میخواهد انجامدهد. این باتنت Stantinko نام دارند و یک پویش تبلیغافزاری بزرگ را از سال ۲۰۱۲ میلادی راهاندازی کردند که بیشتر کشورهای روسیه و اوکراین را هدف قرار دادهاست.
این باتنت به کمک رمزنگاری که بر روی کد آن انجام شد و روشهای مختلفی که برای دور زدن نرمافزارهای امنیتی به کار برده، ناشناس باقی ماندهاست. برای آغاز جاسوسی بر روی سامانههای هدف، این بدافزار از ابزاری به نام FileTour بهعنوان بردار اولیهی آلودگی استفاده میکند. این ابزار قادر خواهد بود برنامههای مختلفی را بر روی ماشین قربانی اجرا کند که یکی از آنها بدافزار Stantinko است که در پسزمینه اجرا میشود.
این باتنت بهطور گستردهای برای نصب افزونه بر روی مرورگرها و در ادامه تزریق تبلیغات و سودجویی از طریق کلیک اقدام میکند ولی برخی سرویسهای ویندوزی نیز در این حملات ایجاد میشود که میتواند عملیات وسیعتری را انجام دهد. از جملهی این عملیات میتوان فعالیتهای در پشتی، جستوجو در گوگل و اجرای حملهی جستجوی فراگیر بر روی پنلهای مدیریتی وردپرس و جوملا را نام برد.
پس از آلوده شدن سامانه، این بدافزار دو سرویس ویندوزی مخرب را نیز راهاندازی میکند که هر کدام از آنها میتوانند در صورت حذف شدن دیگری، مجدداً آن را ایجاد کنند. بنابراین برای رفعِ کامل این آلودگی، باید هر دوی این سرویسها را بهطور همزمان حذف کرد. اگر این اتفاق نیفتد، نسخه جدیدی از سرویسی که حذف شده، توسط کارگزار دستور و کنترل ارائه خواهدشد.
افزونههای مخربی که توسط این باتنت نصب میشوند، «مرور امن» و «حفاظت تدی» نام دارند که در فروشگاه وبکروم توزیع شده و به نظر میرسد برنامههای قانونی هستند که آدرسهای URL ناخواسته را مسدود میکنند. با این حال زمانیکه این افزونهها توسط باتنت نصب شدند، پیکربندیهایی را دریافت میکنند تا به کلیکربایی و نمایش تبلیغات ناخواسته بپردازند.
باتنت Stantinko حاوی یک ماژول در پشتی نیز هست که میتواند هرگونه پروندههای اجرایی ویندوز را بارگذاری کرده و بهطور مستقیم در حافظه ماشین قربانی اجرا کند. این پروندههای اجرایی میتواند از طرف کارگزار دستور و کنترل ارسال شدهباشد. با استفاده از یک سامانه مدیریت افزونه انعطافپذیر، مهاجمان میتوانند هر کدی را بر روی سامانه هدف اجرا کنند.
نویسندگان این بدافزار بر روی کسب درآمد از طریق کلیکربایی متمرکز شدهاند. بهنظر میرسد نویسندگان این بدافزار به مالکان محصولات تبلیغاتی نزدیک باشند، چرا که پس از آلودگی، کاربران مستقیم به وبسایتهایی هدایت میشوند که در آنها محصولاتی تبلیغ میشود. گروهی که پشت این باتنت هستند، توجه ویژهای هم به حسابهای مدیریتی جوملا و وردپرس دارند تا گواهینامههای آنها را به سرقت برده و در بازارهای زیرزمینی بفروشند.