کمیته رکن چهارم – محققان امنیتی از شرکت ایسِت هشدار دادند که یک باتنت به مدت ۵ سال ناشناخته باقی مانده بود و اینک توانسته است نزدیک به نیم میلیون ماشین را آلوده کرده و بر روی این باتها هر کاری که میخواهد انجام دهد. این باتنت Stantinko نام داشته و یک پویش تبلیغافزاری بزرگ را از سال ۲۰۱۲ میلادی راهاندازی کرده که بیشتر کشورهای روسیه و اوکراین را هدف قرار داده است.
این باتنت به لطف رمزنگاری که بر روی کد آن انجام شده و روشهای مختلفی که برای دور زدن نرمافزارهای امنیتی به کار برده، ناشناس باقی مانده است. برای آغاز جاسوسی بر روی سامانههای هدف، این بدافزار از ابزاری به نام FileTour بهعنوان بردار اولیهی آلودگی استفاده میکند. این ابزار قادر خواهد بود برنامههای مختلفی را بر روی ماشین قربانی اجرا کند که یکی از آنها بدافزار Stantinko است که در پسزمینه اجرا میشود.
این باتنت بهطور گستردهای برای نصب افزونه بر روی مرورگرها و در ادامه تزریق تبلیغات و سودجویی از طریق کلیک اقدام میکند ولی برخی سرویسهای ویندوزی نیز در این حملات ایجاد میشود که میتواند عملیات وسیعتری را انجام دهد. از جملهی این عملیات میتوان فعالیتهای دربِ پشتی، جستجو در گوگل و اجرای حملهی جستجوی فراگیر بر روی پنلهای مدیریتی وردپرس و جوملا را نام برد.
پس از آلوده شدن سامانه، این بدافزار دو سرویس ویندوزی مخرب را نیز راهاندازی میکند که هر کدام از آنها میتوانند در صورت حذف شدن دیگری، مجدداً آن را ایجاد کنند. بنابراین برای رفعِ کامل این آلودگی، باید هر دوی این سرویسها را بهطور همزمان حذف کرد. اگر این اتفاق نیفتد، نسخهی جدیدی از سرویسی که حذف شده، توسط کارگزار دستور و کنترل ارائه خواهد شد.
افزونههای مخربی که توسط این باتنت نصب میشوند، «مرور امن» و «حفاظتِ تدی» نام دارند که در فروشگاه وب کروم توزیع شده و به نظر میرسد برنامههای قانونی هستند که آدرسهای URL ناخواسته را مسدود میکنند. با این حال، زمانیکه این افزونهها توسط باتنت نصب شدند، پیکربندیهایی را دریافت میکنند تا به کلیکربایی و نمایش تبلیغات ناخواسته بپردازند.
باتنت Stantinko حاوی یک ماژول دربِ پشتی نیز هست که میتواند هرگونه پروندههای اجرایی ویندوز را بارگذاری کرده و بهطور مستقیم در حافظهی ماشین قربانی اجرا کند. این پروندههای اجرایی میتواند از طرف کارگزار دستور و کنترل ارسال شده باشد. با استفاده از یک سامانهی مدیریت افزونهی انعطافپذیر، مهاجمان میتوانند هر کدی را بر روی سامانهی هدف اجرا کنند.
نویسندگان این بدافزار بر روی کسب درآمد از طریق کلیکربایی متمرکز شدهاند. بهنظر میرسد نویسندگان این بدافزار به مالکان محصولات تبلیغاتی نزدیک باشند چرا که پس از آلودگی، کاربران مستقیم به وبگاههایی هدایت میشوند که در آنها محصولاتی تبلیغ میشود. گروهی که پشت این باتنت هستند، توجه ویژهای هم به حسابهای مدیریتی جوملا و وردپرس دارند تا گواهینامههای آنها را به سرقت برده و در بازارهای زیرزمینی بفروشند.
منبع : news.asis.io
