Стоящие за разработкой майнингового ботнета Stantinko хакеры прибегают к оригинальным методам для маскировки активности своего вредоноса. Об этом сообщили аналитики специализирующейся на кибербезопасности компании ESET.

Based on the investigation into the #Stantinko #botnet, @ESETresearch has analyzed several never before described techniques used by malicious actors to thwart analysis and avoid detection of their #malware. @welivesecurity ➡️ https://t.co/ByZIS4iiP5 pic.twitter.com/obAIYJSP5d

— ESET (@ESET) March 19, 2020

Модули ботнета умеют обнаруживать антивирусы на устройстве жертвы и принудительно завершать работу конкурирующих программ для скрытого майнинга. Несмотря на ресурсозатратность вредонос приостанавливает свою работу в момент запуска диспетчера задач, что усложняет его обнаружение на зараженном ПК.

Взаимодействие CoinMiner.Stantinko с майнинговым пулом происходит через прокси-серверы.

Чтобы выглядеть для системы более легитимным, ботнет использует метод мертвого кода; запутывание строк позволяет ему генерировать исполняемый код в памяти устройства непосредственно перед использованием, а запутывание команд управления делает непредсказуемым порядок выполнения основных блоков. Все это усложняет удаление ботнета из зараженной системы.

«Самая известная особенность этого модуля – это то, как он запутывает данные, чтобы помешать анализу и избежать обнаружения. Из-за использования генератора псевдослучайных чисел и того факта, что операторы Stantinko компилируют этот модуль для каждой новой жертвы, каждая выборка модуля уникальна», – отметили эксперты ESET.

Ботнет Stantinko активен с 2012 года и распространяется с помощью вредоносного ПО, встроенного в пиратский контент. Изначально он специализировался на рекламном мошенничестве, а к середине 2018 года в него был добавлен модуль для скрытого майнинга криптовалюты Monero.

На ноябрь 2019 года Stantinko заразил около 500 тысяч компьютеров в России, Украине, Беларуси и Казахстане.