-
La red de bots Stantinko se camufla a sรญ misma para evadir los mecanismos de detecciรณn.
-
YouTube ya ha retirado de la plataforma los videos que contenรญan proxy de Stantinko.
La red de bots identificada como Stantinko, la cual se cree que ha infectado al menos 500.000 dispositivos alrededor del mundo, ahora ha aรฑadido la minerรญa de criptomonedas a su conjunto de herramientas, y ha estado utilizando a YouTube para evadir ser detectada.
De acuerdo con investigadores del proveedor de soluciones de ciberseguridad ESET, las operaciones de la red de bots ahora estรกn distribuyendo un mรณdulo que mina la moneda centrada en la privacidad, monero (XMR).
La red de bots de Stantinko, conocida por haber estado activa desde al menos 2012 y por usualmente establecer como sus objetivos a los usuarios de Rusia, Ucrania, Bielorrusia y Kazajistรกn, previamente ha recurrido a otros mรฉtodos entre los que se incluyen fraudes por clic, inyecciรณn de publicidades, fraudes de redes sociales y ataques de robo de contraseรฑas para generar ingresos.
Los investigadores de ESET dicen que la caracterรญstica mรกs destacable del mรณdulo es la forma en que se camufla a sรญ mismo para frustrar a los analistas y evitar la detecciรณn. Al respecto, explicaron que ยซdebido al uso de camuflaje a nivel de fuente, con una pizca de imprevisibilidad y el hecho de que los operadores de Stantinko recopilan este mรณdulo para cada nueva vรญctima, cada ejemplar del mรณdulo es รบnico.
Agregaron que el mรณdulo de minerรญa de criptomonedas es una versiรณn altamente modificada del minero de criptomonedas de cรณdigo abierto xmr-stak. Los creadores de la red de bots incluso han eliminado ciertas funcionalidades del malware, en un intento de evadir ser detectados. Los productos de seguridad de ESET descubrieron este malware como Win{32,64}/CoinMiner.Stantinko, aรฑadieron los investigadores.
Resulta interesante que CoinMiner.Stantinko no se comunica directamente con su pool de minerรญa, en cambio emplea proxys cuyas direcciones de IP son adquiridas del texto descriptivo de videos de YouTube.
ESET dice que ha alertado a YouTube sobre los bots de minerรญa de Stantinko, y todos los canales que contenรญan estos videos ya han sido retirados del sitio. ยซEn el nรบcleo de las funciones de minerรญa de criptomonedas se encuentra el proceso de hashing, y la comunicaciรณn con el proxy [โฆ] CoinMiner.Stantinko establece la comunicaciรณn con el primer proxy de minerรญa que encuentre activoยป, resaltaron los investigadores.
Entonces, el cรณdigo del algoritmo de hash del proxy de minerรญa es descargado al inicio de la comunicaciรณn y es subido en la memoria. Al descargar el cรณdigo de hashing con cada ejecuciรณn, el grupo Stantinko es capaz de cambiar este cรณdigo en cualquier momento.
ยซEste cambio hace que sea posible, por ejemplo, adaptarse a los ajustes en los algoritmos de monedas existentes y tambiรฉn hacer cambios para minar varias criptomonedas. Esto quizรกs con el propรณsito de minar la criptomoneda mรกs rentable al momento de la ejecuciรณnยป,ย explicaron.
El beneficio principal de descargar la parte nรบcleo del mรณdulo de un servidor remoto y de cargarlo directamente en la memoria, es que esta parte del cรณdigo nunca es almacenada en el disco. Este ajuste adicional se hizo con la intenciรณn de complicar la detecciรณn, ya que los patrones en estos algoritmos son triviales para la detecciรณn por parte de los productos de seguridad.
ESET
Por ahora, los anรกlisis llevados a cabo por los investigadores de ESET muestran que todos los ejemplares del mรณdulo de minerรญa de criptomonedas de Stantinko minan monero. Ellos han llegado a esta conclusiรณn al buscar los trabajos presentados por el proxy de minerรญa y el algoritmo de hash. De esta forma, los investigadores analizaron el algoritmo de hash utilizado por la red de bots y encontraron que era el CryptoNight R.
Sin embargo, vale la pena resaltar que existen varias otras criptomonedas que utilizan este algoritmo, lo que significa que este reconocimiento no es suficiente. Esto simplemente reduce la lista.
ยซA diferencia del resto de CoinMiner.Stantinko, el algoritmo de hash no estรก camuflado, ya que el camuflaje podrรญa perjudicar significativamente la velocidad del cรกlculo del hash y por consiguiente el desempeรฑo y la rentabilidad. Los autores se aseguraron de no dejar atrรกs ninguna funciรณn significativaยป, concluyeron.
Versiรณn traducida del artรญculo de Yessi Bello Pรฉrez, publicado en The Next Web.