;

Malware Stantinko napadl více než půl milionu uživatelů ve východní Evropě

25. 7. 2017
Doba čtení: 3 minuty

Sdílet

 Autor: © Minerva Studio - Fotolia.com
Těžce identifikovatelný nový kmen malwaru se šíří prostřednictvím dvou pluginů pro internetový prohlížeč Chrome.

Společnost ESET zveřejnila rozsáhlou studii o velmi obtížně rozpoznatelném druhu malware zvaném Stantinko, který své oběti podvodně přiměje ke stahování pirátského softwaru z falešných torrentových serverů. Stantinko cílí především na rusky mluvící uživatele a jedná se o síť botů, jež svým tvůrcům generují zisky instalací rozšíření webového prohlížeče, které při surfování na webu vkládá podstrčené reklamy. Pokud dojde k jeho instalaci do počítače, dokáže anonymně provádět masivní vyhledávání na Googlu a vytvářet falešné účty na Facebooku, kde dokáže „lajkovat“ fotografie, stránky a přidávat přátele. V České republice je riziko nakažení poměrně nízké. Cílem této kampaně je především Rusko, Ukrajina a Bělorusko.

Jakmile je počítač infikován, nainstaluje dvě škodlivé služby v rámci operačního systému Windows, které se spouští při každém jeho startu. „Když ho ‚chytíte‘, je obtížné se ho zbavit, protože každá z obou služeb má schopnost znovu nainstalovat tu druhou. Aby uživatel problém plně eliminoval, musí vymazat ze svého počítače obě tyto služby současně,“ vysvětluje Frédéric Vachon, analytik společnosti ESET.

Když se Stantinko dostane do počítače, nainstaluje do prohlížeče dva zásuvné moduly – oba jsou jinak běžně k dispozici ke stažení na Google Chrome Web Store – jmenují se „The Safe Surfing“ a „Teddy Protection“. „Během naší analýzy byly oba pluginy na internetu stále nabízeny,“ říká Marc-Etienne Léveillé, expert na výzkum malwaru ve společnosti ESET. „Na první pohled vypadají jako legitimní rozšíření webového prohlížeče a dokonce mají své internetové stránky. Pokud je však nainstaluje Stantinko, obdrží tato rozšíření odlišnou konfiguraci, která obsahuje příkazy na provádění podvodných kliknutí na reklamy a vkládání vlastního kódu do navštěvovaných webových stránek.“

Když se Stantinko infiltruje do počítače, mohou operátoři tohoto malwaru používat flexibilní pluginy k tomu, aby s nakaženým počítačem prováděli, cokoli si budou přát. To znamená například masivní anonymní vyhledávání stránek vytvořených pomocí nástrojů Joomla a WordPress, na něž následně provádějí tzv. „brute force“ útoky s cílem vyhledání a odcizení dat, a mohou též vytvářet falešné účty na Facebooku.

Jak hackeři vydělávají na malwaru Stantinko?

Malware Stantinko má velmi lukrativní potenciál, jelikož automaticky generovaná kliknutí na online reklamy jsou pro hackery hlavním zdrojem příjmů. Organizace White Ops a Association of National Advertisers provedly ve Spojených státech průzkum a odhadují, že falešná kliknutí na reklamu bude firmy jen v tomto roce stát 6,5 miliardy USD.

Detailní informace o webových stránkách, které se staly obětí útoků vedených malwarem Stantinko, jež se snaží uhádnout přístupová hesla tím, že zkouší tisíce různých možností, lze navíc prodávat na černém trhu.

Zásuvné moduly Safe Surfing a Teddy Protection jsou schopné vkládat reklamy nebo přesměrovávat uživatele. „To operátorům malwaru Stantinko umožňuje získávat odměnu za internetový provoz, který těmto odkazům zprostředkují. Dokonce jsme zjistili, že někteří uživatelé se dostali na stránky plátce reklamy přímo z reklam, jež ovládal Stantinko,“ uzavírá Matthieu Faou, analytik malwaru ve společnosti ESET.

bitcoin_skoleni

V České republice je riziko nakažení poměrně nízké. Evidováno je přibližně tisíc detekcí. V počtu detekcí tohoto malware je Česká republika na dvaadvacátém místě. Žebříček vede Rusko, Ukrajina a Bělorusko.

Zdroj: Eset