Alertan sobre el botnet Stantinko

Alertan sobre el botnet Stantinko
Este botnet mina criptomonedas, aprovechándose de los equipos víctimas.

Los delincuentes detrás de la red de bots están distribuyendo un módulo de criptominería entre el aproximadamente medio millón de computadoras que controlan.

ESET descubrió nuevas actividades de Stantinko, una botnet que controla aproximadamente medio millón de computadoras desde 2012 y ahora estaría infectando miles de computadoras para minar criptomonedas*.

La compañía identificó que los operadores de la botnet Stantinko cuentan con un nuevo medio de obtener ganancias de las computadoras bajo su control.

La red de bots de aproximadamente medio millón de unidades, conocida por haber estado activa desde al menos 2012 y dirigida principalmente a usuarios en Rusia, Ucrania, Bielorrusia y Kazajstán, ahora distribuye un módulo de criptominería. La minería Monero, una criptomoneda cuyo tipo de cambio oscila en 2019 entre u$s 50 y u$s 110, fue la funcionalidad de monetización de la botnet desde al menos agosto de 2018.

Después de años en el fraudes por clics, inyección de anuncios, fraude en redes sociales y robo de credenciales, Stantinko ha empezado a minar la criptodivisa Monero. Desde fines del año pasado, los ciberdelincuentes de este grupo están distribuyendo un módulo de criptominado a los dispositivos que tienen bajo control”, afirmó Vladislav Hrcka, analista de malware en ESET, responsable de esta investigación.

Ejemplo de video de YouTube cuya descripción proporciona una dirección IP para la comunicación del módulo con el grupo de minería.

La característica más notable del módulo de criptominado de Stantinko es la forma en que se ofusca para frustrar el análisis y evitar su detección. Debido al uso de ofuscaciones con una gran cantidad de aleatoriedad y de que sus operadores compilan este módulo para cada nueva víctima, cada muestra es única.

Además, para ocultar su comunicación, se comunica a través de proxies cuyas direcciones IP se consiguen a partir de los textos de descripción de los vídeos de YouTube, de forma similar a como lo hace el malware bancario Casbaneiro.

ESET ya ha informado a YouTube de este abuso y todos los canales con vídeos relacionados han sido eliminados”, confirmó Hrcka.

Este módulo de criptominería consta de cuatro partes. La principal realiza la criptominería real, las otras partes son responsables de funciones adicionales:

  1. Suspender otras aplicaciones de criptominería (es decir, competir)
  2. Detectar software de seguridad
  3. Suspender la función de criptominería si la computadora funciona con batería (medida dirigida a equipos portátiles, para evitar que la batería se agote rápidamente), o cuando se detecta un administrador de tareas, para evitar levantar sospechas del usuario y ser identifique

Este descubrimiento muestra que los delincuentes detrás de Stantinko continúan expandiendo las formas en que aprovechan la botnet que controlan. Sus innovaciones anteriores estaban destinadas a obtener credenciales de servidor, probablemente con el objetivo de venderlos a otros delincuentes. Este nuevo módulo de criptominería, todavía activo, muestra que este grupo amplía sus capacidades para generar dinero y podría incluso usarse con fines más dañinos”, advirtió Hrcka.

Print Friendly, PDF & Email

Ultimas Noticias

Deje su comentario

Su dirección de correo no será publicada. Los campos obligatorios están marcados con *

Cancelar respuesta

+ Leídas

+ Comentadas


Videos Destacados

Tipo de error: "Forbidden". Mensaje de error: "The request cannot be completed because you have exceeded your quota." Dominio: "youtube.quota". Razón: "quotaExceeded".

Did you added your own Google API key? Look at the help.

Comprueba en YouTube si el id UC8nOuNcjMh0JO1VR8vMCO4A corresponde a un channelid. Revise el FAQ del plugin or envíe los mensajes de error a support.


Nueva convocatoria para la adjudicación de licencias de FM en Argentina

Tucumán y Mendoza se suman a las provincias de Jujuy, Catamarca, Corrientes y Tierra del Fuego.

Cerrar