網路安全公司ESET表示,Stantinko殭屍網路已將加密採礦功能新增到其犯罪活動中,他們正利用YouTube的描述文字代理分發加密採礦模組,該模組可開採隱私幣門羅(Monero)。
網路安全公司ESET近期釋出的一份報告(Stantinko Botnet Adds Cryptomining Criminal Activities)揭露,Stantinko殭屍網路的操縱者使用了一種新手段擴充套件他們的工具集,並在其控制的使用者終端中分發了一個加密採礦模組,這個採礦模組可以用來挖掘門羅幣(Monero)。報告指出至少自 2018 年 8 月以來,這種方式代替傳統的點選欺詐,廣告注入,社交網路欺詐和密碼竊取,成為殭屍網路的主要獲利功能。
Stantinko殭屍網路最初於 2017 年被發現(儘管自 2012 年以來一直秘密的執行),據報道已感染了全球超過 50 萬臺裝置,主要針對俄羅斯,哈薩克,白俄羅斯和烏克蘭的終端。ESET在報告中表示,Stantinko新模組的混淆方式阻礙了分析並避免了檢測,由於源級混淆的使用具有一定的隨機性,而且Stantinko的運算子會為每個新的受害者編譯此模組,因此該模組的每個樣本都是唯一的。所以目前追蹤它的每個微小的改變都異常艱難。
ESET報道的Stantinko利用youtube挖掘門羅幣事件與此前的Coinhive事件不同,Stantinko使用的採礦模組是xmr -stak開源礦機的高度修改版本,該模組透過挖掘加密貨幣來耗盡受感染機器的大部分資源。為了逃避檢測,刪除了所有不必要的字串甚至整個功能。其餘的字串和函式被嚴重混淆。ESET安全產品將此惡意軟體檢測為Win {32,64} /CoinMiner.Stantinko。
CoinMiner.Stantinko不會直接採礦池通訊,而是透過其IP地址從YouTube影片的描述文字中獲取的代理進行通訊。ESET表示銀行惡意軟體Casbaneiro使用了一種類似的技術來隱藏YouTube影片描述中的資料。Casbaneiro使用看起來更為合法的渠道和描述,但目的大致相同:儲存加密的C&Cs。
ESET表示已將駭客使用影片編碼手段告知YouTube;包含這些影片的所有頻道均已被刪除。
