Відомий ботнет Stantinko розширив функціональні можливості та тепер здатен здійснювати майнінг криптовалюти Monero на контрольованих пристроях. Група кіберзлочинців Stantinko активна щонайменше з 2012 року і в основному націлена на користувачів Росії, України, Білорусі та Казахстану.
Варто зазначити, що під управлінням операторів ботнету Stantinko опинилося приблизно півмільйона комп’ютерів.
“Після багатьох років шахрайських дій з кліками та показу рекламних оголошень, шахрайства в соцмережах та викрадення даних, Stantinko почав здійснювати майнінг криптовалюти Monero. Щонайменше з серпня 2018 року його оператори розповсюджують модуль для майнінгу криптовалюти на комп’ютери, якими вони управляють”, — коментують дослідники ESET.
Модуль Stantinko для майнінгу криптовалюти є модифікованою версією криптомайнера з відкритим кодом xmr-stak. Однією з особливостей цього модуля є використання методів заплутування коду для запобігання аналізу та уникнення виявлення.
“Завдяки використанню методів заплутування коду та компіляції модуля Stantinko для кожної нової жертви, кожен зразок модуля є унікальним”,— коментують спеціалісти ESET.
Крім використання методів заплутування коду, CoinMiner.Stantinko використовує ще кілька цікавих прийомів. Зокрема для приховування зв’язку, модуль не з’єднується безпосередньо зі своїм майнінг-пулом, а використовує для цього проксі, IP-адреси яких отримані з тексту відео на YouTube.
Варто зазначити, що аналогічну техніку приховування даних в описах відео YouTube застосовував банківський троян Casbaneiro, який було нещодавно проаналізовано дослідниками.
“Ми повідомили YouTube про цей випадок, і всі канали з цими відео були видалені”, — коментують фахівці.
Для запобігання виявленню CoinMiner.Stantinko зупиняє процес майнінгу криптовалют, якщо ПК працює від батареї або у разі виявлення диспетчера завдань. Він також перевіряє, чи працюють на комп’ютері інші додатки для майнінгу криптовалюти та призупиняє їх. Крім цього, шкідлива програма також сканує запущені процеси, щоб знайти програмне забезпечення з безпеки.
“Хоча CoinMiner.Stantinko не вважають найнебезпечнішою шкідливою програмою, проте в будь-який момент кіберзлочинці можуть інфікувати пристрої користувачів іншим шкідливим програмним забезпеченням”, — попереджають спеціалісти ESET.
Нагадаємо, компанія D-Link попередила користувачів, що кілька моделей маршрутизаторів містять низку критичних уразливостей, експлуатація яких дозволяє віддаленим зловмисникам отримати контроль над обладнанням і викрасти дані. Як повідомив виробник, проблеми не будуть виправлені, оскільки обладнання застаріло і більше не буде отримувати оновлення безпеки.
Також Microsoft працює над реалізацією в майбутніх випусках Windows 10 протоколу “DNS поверх HTTPS” (DNS over HTTPS, DoH). Протокол DoH дозволяє виконувати дозвіл DNS поверх зашифрованого HTTPS-з’єднання, а DoT шифрує і “упаковує” DNS-запити через протокол Transport Layer Security (TLS). Додавши DoH в Windows 10 Core Networking, Microsoft прагне посилити захист приватності користувачів в Інтернеті шляхом шифрування всіх їх DNS-запитів.
Зверніть увагу, що Intel збирається видалити завантаження для старих апаратних компонентів з офіційного сайту. Хоча компанія не робила офіційної заяви з приводу видалення драйверів, багато користувачів помітили попередження при спробі завантажити окремі екземпляри програмного забезпечення. Тому якщо Ви використовуєте старе обладнання Intel, Вам слід якомога швидше завантажити оновлення BIOS і драйвери на свій пристрій.
До речі, для безпечного збереження даних давно радять використовувати менеджер паролі – наприклад, 1Password, LastPass або Bitwarden. Але сучасні веб-браузери також мають вбудовані менеджери паролів. Здавалося б, навіщо встановлювати інший? Як виявилося, є багато вагомих причин уникати вбудованого інструменту управління паролями для браузера.