La botnet Stantinko se pasa al minado de criptomonedas

  • Actualidad

La botnet Stantinko, conocida por sus fraudes online, ahora está infectando miles de PC para minar criptomonedas, según han podido confirmar los investigadores de Eset.

ESET firma un nuevo hallazgo en el lucrativo mercado de minado de criptomonedas. Según han confirmado sus especialistas, esta botnet, que controla aproximadamente medio millón de ordenadores y opera contra objetivos en Rusia, Ucrania, Bielorrusia y Kazajstán desde 2012, ahora estaría infectando miles de PC para minar criptomonedas.

Según Vladislav Hrcka, analista de malware de la firma que es el responsable de esta investigación, “después de años confiando su modelo de negocio en el fraude de clics, inyección de anuncios, fraude en redes sociales y robo de credenciales, Stantinko ha empezado a minar la criptodivisa Monero. Al menos desde agosto de 2018, los ciberdelincuentes de este grupo están distribuyendo un módulo de criptominado a los dispositivos que tienen bajo control”.

Este módulo, de acuerdo con el experto, es una versión muy modificada del criptominero de código abierto xmr-stak y su característica más interesante es la forma en la que se oculta para frustrar los análisis y evitar la detección. “Debido al uso de ofuscaciones a nivel de código y de altas dosis de aleatoriedad y al hecho de que los desarrolladores compilen este módulo para cada víctima nueva hace que cada muestra de Stantinko sea única”, explica. 

Además de las técnicas de ofuscación, CoinMiner.Stantinko emplea algunos trucos peculiares. Por ejemplo, para ocultar su comunicación, el módulo no se comunica con el pool de minado directamente, sino a través de proxies cuyas direcciones IP se consiguen a partir de los textos de descripción de los vídeos de YouTube, de forma similar a como lo hace el malware bancario Casbaneiro. “ESET ya ha informado a YouTube de este abuso y todos los canales con vídeos relacionados han sido eliminados”, confirma Hrcka.

Para evitar sospechas, CoinMiner.Stantinko suspende las funciones de criptominado si se usa el PC con batería o si se detecta la presencia del gestor de tareas. También comprueba si se están utilizando otras aplicaciones de criptomonedas y las suspende, y realiza un análisis del sistema para comprobar la presencia de software de ciberseguridad en el sistema.

“En realidad CoinMiner.Stantinko está lejos de ser el malware más peligroso existente, aunque sí puede llegar a ser bastante molesto pero, sobre todo, lo que hace es utilizar el ordenador de la víctima para generar dinero para el ciberdelincuente y en última instancia podría incluso usarse con fines más dañinos”, señala Hrcka.

TAGS Ciberseguridad, Botnet, Criptomonedas

CONTENIDO RELACIONADO

CONTENIDO RECOMENDADO