ESET identifie Stantinko, un botnet déployant un module de cryptomining

Temps de lecture : 3 minutes

Les chercheurs d’ESET ont découvert que les cybercriminels exploitant le botnet Stantinko, composé de près de 500 000 ordinateurs, déploient maintenant un module de minage Monero sur les appareils qu’ils contrôlent.

Actifs depuis 2012 au minimum, les responsables du botnet Stantinko contrôlent près d’un demi-million d’ordinateurs et ciblent principalement la Russie, l’Ukraine, la Biélorussie et le Kazakhstan. Récemment, ils ont déployé un nouveau modèle économique.

 « Après des années d’activités basées sur la fraude au clic, l’injection de publicités, la fraude sur les réseaux sociaux et le vol d’identifiants, Stantinko mine maintenant Monero. Depuis août 2018 au moins, les cybercriminels derrière ce botnet déploient un module de cryptomining sur les ordinateurs qu’ils contrôlent », explique Vladislav Hrčka, l’analyste malware responsable de cette enquête chez ESET.

Identifié par les produits de sécurité d’ESET sous la dénomination Win{32,64}/CoinMiner.Stantinko, ce module de cryptomining est une version considérablement modifiée du cryptominer open source xmr-stak. Il se démarque surtout par sa technique d’obscurcissement visant à résister aux analyses et à éviter la détection. « En plus de sa méthode d’obscurcissement à la source reposant partiellement sur le hasard, ce module est compilé individuellement par les opérateurs de Stantinko pour chaque nouvelle victime : par conséquent, chaque échantillon est unique », ajoute M. Hrčka.

En parallèle à l’obscurcissement, CoinMiner.Stantinko utilise plusieurs techniques intéressantes.

Pour masquer ses communications, le module n’interagit pas directement avec son pool de minage : il passe par des proxies dont les adresses IP figurent dans des descriptifs de vidéos YouTube. (Le malware bancaire Casbaneiro récemment analysé par les chercheurs d’ESET utilise une approche similaire pour dissimuler des données dans l’espace de description des vidéos YouTube.)

 « Nous avons informé YouTube de ces activités abusives et la plateforme a supprimé toutes les chaînes liées à ces vidéos », déclare M. Hrčka.

Pour ne pas éveiller les soupçons des victimes, CoinMiner.Stantinko peut également suspendre sa fonction de cryptomining lorsque l’ordinateur fonctionne sur batterie ou lorsqu’il détecte un gestionnaire de tâches. Il peut également détecter les éventuelles autres applications de cryptomining en cours d’exécution sur l’ordinateur et suspendre leur fonctionnement. CoinMiner.Stantinko est aussi capable d’analyser les processus en cours d’exécution pour identifier les logiciels de sécurité.

 « CoinMiner.Stantinko est loin d’être le plus dangereux des malwares, mais personne n’a envie que son ordinateur enrichisse les cybercriminels en arrière-plan. Et à tout moment, Stantinko pourrait déployer un nouveau malware potentiellement dangereux sur les postes infectés, ce qui est assez préoccupant », conclut Vladislav Hrčka.

Les chercheurs d’ESET conseillent aux utilisateurs de respecter les principes de sécurité de base et d’utiliser des logiciels fiables pour se protéger contre ce type de menace.

Pour en savoir plus, consultez l’article « Stantinko botnet adds cryptomining to its pool of criminal activities » sur WeLiveSecurity.

À propos d’ESET

Fondée en 1992, ESET, 1er éditeur européen en solutions de cybersécurité est spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public (avec respectivement les rangs de 4ème et 5ème mondial). Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd’hui le leader dans ce domaine. Il est désigné comme l’unique Challenger dans le Magic Quadrant 2018 de Gartner, catégorie Endpoint Protection Platforms. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. Les solutions ESET protègent aujourd’hui plus de 900 millions de postes dans le monde.  

À propos Olivier Kauf

Je suis journaliste, mais aussi et peut-être surtout depuis quelques années, je suis un influenceur. Les internautes rejettent de plus en plus les publicités et recherchent de l’information au travers d’articles présentant de manière objective des produits ou des services. Aujourd’hui, tout le monde a le réflexe, avant d’acheter, de regarder ce que les internautes en disent. En tant qu’influenceur, je serais ravi de présenter vos produits ou services de manière objective et critique, mais positive pour rassurer les internautes qui hésitent avant de vous faire confiance. Je vous propose de publier les articles, que je peux écrire pour vous, soit sur RiskAssur, soit sur Notre-Siècle, en les recommandant à mes abonnés sur les principaux réseaux sociaux : LinkedIn, Viadeo, Tweeter, Google + et Facebook. Je suis à votre écoute pour répondre à vos besoins, vous pouvez me contactez à olivier@notre-siecle.com autres sites https://www.riskassur-hebdo.com https://notre-siecle.com

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Si vous avez un instant !

L’article que vous venez de lire vous a intéressé,
alors CLIQUER sur une des publicités.
Ça ne vous coûte rien et c’est positif pour PèreLaFouine.