ESET identifie Stantinko, un botnet déployant un module de cryptomining

Prochain article

Les chercheurs d’ESET ont découvert que les cybercriminels exploitant le botnet Stantinko, composé de près de 500 000 ordinateurs, déploient maintenant un module de minage Monero sur les appareils qu’ils contrôlent.

Actifs depuis 2012 au minimum, les responsables du botnet Stantinko contrôlent près d’un demi-million d’ordinateurs et ciblent principalement la Russie, l’Ukraine, la Biélorussie et le Kazakhstan. Récemment, ils ont déployé un nouveau modèle économique.

« Après des années d’activités basées sur la fraude au clic, l’injection de publicités, la fraude sur les réseaux sociaux et le vol d’identifiants, Stantinko mine maintenant Monero. Depuis août 2018 au moins, les cybercriminels derrière ce botnet déploient un module de cryptomining sur les ordinateurs qu’ils contrôlent », explique Vladislav Hrčka, l’analyste malware responsable de cette enquête chez ESET.

Identifié par les produits de sécurité d’ESET sous la dénomination Win{32,64}/CoinMiner.Stantinko, ce module de cryptomining est une version considérablement modifiée du cryptominer open source xmr-stak. Il se démarque surtout par sa technique d’obscurcissement visant à résister aux analyses et à éviter la détection. « En plus de sa méthode d’obscurcissement à la source reposant partiellement sur le hasard, ce module est compilé individuellement par les opérateurs de Stantinko pour chaque nouvelle victime : par conséquent, chaque échantillon est unique », ajoute M. Hrčka.

En parallèle à l’obscurcissement, CoinMiner.Stantinko utilise plusieurs techniques intéressantes.

Pour masquer ses communications, le module n’interagit pas directement avec son pool de minage : il passe par des proxies dont les adresses IP figurent dans des descriptifs de vidéos YouTube. (Le malware bancaire Casbaneiro récemment analysé par les chercheurs d’ESET utilise une approche similaire pour dissimuler des données dans l’espace de description des vidéos YouTube.)

« Nous avons informé YouTube de ces activités abusives et la plateforme a supprimé toutes les chaînes liées à ces vidéos », déclare M. Hrčka.

Pour ne pas éveiller les soupçons des victimes, CoinMiner.Stantinko peut également suspendre sa fonction de cryptomining lorsque l’ordinateur fonctionne sur batterie ou lorsqu’il détecte un gestionnaire de tâches. Il peut également détecter les éventuelles autres applications de cryptomining en cours d’exécution sur l’ordinateur et suspendre leur fonctionnement.
CoinMiner.Stantinko est aussi capable d’analyser les processus en cours d’exécution pour identifier les logiciels de sécurité.

« CoinMiner.Stantinko est loin d’être le plus dangereux des malwares, mais personne n’a envie que son ordinateur enrichisse les cybercriminels en arrière-plan. Et à tout moment, Stantinko pourrait déployer un nouveau malware potentiellement dangereux sur les postes infectés, ce qui est assez préoccupant », conclut Vladislav Hrčka.

Les chercheurs d’ESET conseillent aux utilisateurs de respecter les principes de sécurité de base et d’utiliser des logiciels fiables pour se protéger contre ce type de menace.

Pour en savoir plus, consultez l’article « Stantinko botnet adds cryptomining to its pool of criminal activities» sur WeLiveSecurity.

CONTACT PRESSE
Darina SANTAMARIA : +33 01 86 27 00 39 - darina.j@eset-nod32.fr

À propos d'ESET
Fondée en 1992, la société ESET 1er éditeur européen en solutions de cybersécurité est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public (avec respectivement les rangs de 4ème et 5ème mondial). Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine. Il est désigné comme l’unique Challenger dans le Magic Quadrant 2018 de Gartner, catégorie Endpoint Protection Platforms. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. Les solutions ESET protègent aujourd’hui plus de 900 millions de postes dans le monde.

Pour plus d’informations :  www.eset.com/na  Blog : www.welivesecurity.com/fr/