Аdware-кампания поразила 100 тысяч устройств в Украине
Компания ESET обнаружила adware-кампанию Stantinko, успешно действующую с 2012 года. С 2015 года злоумышленникам удалось заразить более 500 тыс. устройств. Больше всего пострадавших в России (46%) и Украине (33%), пишет AIN.ua.
Разработчики Stantinko монетизируют ботнет через установку расширений для браузера Chrome, которые вставляют рекламу и занимаются кликфродом (кликанием на рекламные объявления без ведома зараженного пользователя).
Однако вредоносный сервис Windows, который устанавливается на компьютер жертвы, позволяет хакерам выполнять любые действия. Исследователи отмечали случаи установки бота, проводившего массовый поиск в Google; инструмента для брутфорс-атак на панели администраторов Joomla и WordPress, с целью их взлома и продажи; полноценного бэкдора для управления зараженной системой.
Обнаруженная кампания также примечательна тем, что злоумышленникам удалось скрывать активность вредоносного ПО в течение пяти лет. Исследователи отметили старательную обфускацию (запутывание) и шифрования вредоносного кода и структуру вредоносного ПО, которое позволяло избежать обнаружения антивирусами долгие годы.
Загрузка Stantinko (вместе с сервисами Mail.Ru вроде браузера Amigo) на компьютер жертвы происходит через еще одно вредоносной ПО - FileTour. Оно, в свою очередь, распространяется через сайты с пиратским ПО вроде Microsoft Office или играми вроде Grand Theft Auto V иногда под видами торрент-файлов. FileTour устанавливает множество программ, отвлекая внимание пользователя от загрузки компонентов Stantinko, которая происходит в фоновом режиме.
В полном тексте исследования ESET (PDF) содержится список из взломанных сайтов, среди которых есть несколько украинских. К примеру, сайт Первомайского политехнического института, использующий Joomla.
В конце текста также имеется список файлов, ассоциирующихся с Stantinko. Но главным индикатором заражения является наличие расширений Teddy Protection и The Safe Surfing в браузере Chrome.
Подписывайтесь на аккаунт LIGA.net в Twitter, Facebook и Google+: в одной ленте - все, что стоит знать о политике, экономике, бизнесе и финансах.