Hechos clave:
-
La red de bots Stantinko se camufla a sí misma para evadir los mecanismos de detección.
-
YouTube ya ha retirado de la plataforma los videos que contenían proxy de Stantinko.
La red de bots identificada como Stantinko, la cual se cree que ha infectado al menos 500.000 dispositivos alrededor del mundo, ahora ha añadido la minería de criptomonedas a su conjunto de herramientas, y ha estado utilizando a YouTube para evadir ser detectada.
De acuerdo con investigadores del proveedor de soluciones de ciberseguridad ESET, las operaciones de la red de bots ahora están distribuyendo un módulo que mina la moneda centrada en la privacidad, monero (XMR).
La red de bots de Stantinko, conocida por haber estado activa desde al menos 2012 y por usualmente establecer como sus objetivos a los usuarios de Rusia, Ucrania, Bielorrusia y Kazajistán, previamente ha recurrido a otros métodos entre los que se incluyen fraudes por clic, inyección de publicidades, fraudes de redes sociales y ataques de robo de contraseñas para generar ingresos.
Los investigadores de ESET dicen que la característica más destacable del módulo es la forma en que se camufla a sí mismo para frustrar a los analistas y evitar la detección. Al respecto, explicaron que «debido al uso de camuflaje a nivel de fuente, con una pizca de imprevisibilidad y el hecho de que los operadores de Stantinko recopilan este módulo para cada nueva víctima, cada ejemplar del módulo es único.
Agregaron que el módulo de minería de criptomonedas es una versión altamente modificada del minero de criptomonedas de código abierto xmr-stak. Los creadores de la red de bots incluso han eliminado ciertas funcionalidades del malware, en un intento de evadir ser detectados. Los productos de seguridad de ESET descubrieron este malware como Win{32,64}/CoinMiner.Stantinko, añadieron los investigadores.
Resulta interesante que CoinMiner.Stantinko no se comunica directamente con su pool de minería, en cambio emplea proxys cuyas direcciones de IP son adquiridas del texto descriptivo de videos de YouTube.
ESET dice que ha alertado a YouTube sobre los bots de minería de Stantinko, y todos los canales que contenían estos videos ya han sido retirados del sitio. «En el núcleo de las funciones de minería de criptomonedas se encuentra el proceso de hashing, y la comunicación con el proxy […] CoinMiner.Stantinko establece la comunicación con el primer proxy de minería que encuentre activo», resaltaron los investigadores.
Entonces, el código del algoritmo de hash del proxy de minería es descargado al inicio de la comunicación y es subido en la memoria. Al descargar el código de hashing con cada ejecución, el grupo Stantinko es capaz de cambiar este código en cualquier momento.
«Este cambio hace que sea posible, por ejemplo, adaptarse a los ajustes en los algoritmos de monedas existentes y también hacer cambios para minar varias criptomonedas. Esto quizás con el propósito de minar la criptomoneda más rentable al momento de la ejecución», explicaron.
El beneficio principal de descargar la parte núcleo del módulo de un servidor remoto y de cargarlo directamente en la memoria, es que esta parte del código nunca es almacenada en el disco. Este ajuste adicional se hizo con la intención de complicar la detección, ya que los patrones en estos algoritmos son triviales para la detección por parte de los productos de seguridad.
ESET
Por ahora, los análisis llevados a cabo por los investigadores de ESET muestran que todos los ejemplares del módulo de minería de criptomonedas de Stantinko minan monero. Ellos han llegado a esta conclusión al buscar los trabajos presentados por el proxy de minería y el algoritmo de hash. De esta forma, los investigadores analizaron el algoritmo de hash utilizado por la red de bots y encontraron que era el CryptoNight R.
Sin embargo, vale la pena resaltar que existen varias otras criptomonedas que utilizan este algoritmo, lo que significa que este reconocimiento no es suficiente. Esto simplemente reduce la lista.
«A diferencia del resto de CoinMiner.Stantinko, el algoritmo de hash no está camuflado, ya que el camuflaje podría perjudicar significativamente la velocidad del cálculo del hash y por consiguiente el desempeño y la rentabilidad. Los autores se aseguraron de no dejar atrás ninguna función significativa», concluyeron.
Versión traducida del artículo de Yessi Bello Pérez, publicado en The Next Web.