Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ESET identifie Stantinko, un botnet déployant un module de cryptomining

novembre 2019 par ESET

Les chercheurs d’ESET ont découvert que les cybercriminels exploitant le botnet Stantinko, composé de près de 500 000 ordinateurs, déploient maintenant un module de minage Monero sur les appareils qu’ils contrôlent.

Actifs depuis 2012 au minimum, les responsables du botnet Stantinko contrôlent près d’un demi-million d’ordinateurs et ciblent principalement la Russie, l’Ukraine, la Biélorussie et le Kazakhstan. Récemment, ils ont déployé un nouveau modèle économique.

« Après des années d’activités basées sur la fraude au clic, l’injection de publicités, la fraude sur les réseaux sociaux et le vol d’identifiants, Stantinko mine maintenant Monero. Depuis août 2018 au moins, les cybercriminels derrière ce botnet déploient un module de cryptomining sur les ordinateurs qu’ils contrôlent », explique Vladislav Hr ?ka, l’analyste malware responsable de cette enquête chez ESET.

Identifié par les produits de sécurité d’ESET sous la dénomination Win32,64/CoinMiner.Stantinko, ce module de cryptomining est une version considérablement modifiée du cryptominer open source xmr-stak. Il se démarque surtout par sa technique d’obscurcissement visant à résister aux analyses et à éviter la détection. « En plus de sa méthode d’obscurcissement à la source reposant partiellement sur le hasard, ce module est compilé individuellement par les opérateurs de Stantinko pour chaque nouvelle victime : par conséquent, chaque échantillon est unique », ajoute M. Hr ?ka.

En parallèle à l’obscurcissement, CoinMiner.Stantinko utilise plusieurs techniques intéressantes.

Pour masquer ses communications, le module n’interagit pas directement avec son pool de minage : il passe par des proxies dont les adresses IP figurent dans des descriptifs de vidéos YouTube. (Le malware bancaire Casbaneiro récemment analysé par les chercheurs d’ESET utilise une approche similaire pour dissimuler des données dans l’espace de description des vidéos YouTube.)

« Nous avons informé YouTube de ces activités abusives et la plateforme a supprimé toutes les chaînes liées à ces vidéos », déclare M. Hr ?ka.

Pour ne pas éveiller les soupçons des victimes, CoinMiner.Stantinko peut également suspendre sa fonction de cryptomining lorsque l’ordinateur fonctionne sur batterie ou lorsqu’il détecte un gestionnaire de tâches. Il peut également détecter les éventuelles autres applications de cryptomining en cours d’exécution sur l’ordinateur et suspendre leur fonctionnement. CoinMiner.Stantinko est aussi capable d’analyser les processus en cours d’exécution pour identifier les logiciels de sécurité.

« CoinMiner.Stantinko est loin d’être le plus dangereux des malwares, mais personne n’a envie que son ordinateur enrichisse les cybercriminels en arrière-plan. Et à tout moment, Stantinko pourrait déployer un nouveau malware potentiellement dangereux sur les postes infectés, ce qui est assez préoccupant », conclut Vladislav Hr ?ka.

Les chercheurs d’ESET conseillent aux utilisateurs de respecter les principes de sécurité de base et d’utiliser des logiciels fiables pour se protéger contre ce type de menace.


Voir les articles précédents

    

Voir les articles suivants