Diferencia entre revisiones de «Stantinko (malware)»

← Ir a diferencia anterior Ir a siguiente diferencia →

Contenido eliminado Contenido añadido

En renglón

Revisión del 05:49 23 abr 2020

Stantinko es un malware para sistemas Windows que crea una botnet controlada desde fuera.^[1]

Su red permanece activa desde 2012, aunque fue detectado por primera vez en 2017 por ESET.^[1]Su objetivo principal son usuarios de Rusia, Ucrania, Bielorrusia y Kazajstán. Se estima que cuenta con aproximadamente medio millón de máquinas en su botnet.^[2]

Actividad

En un principio su actividad era ganar dinero generando tráfico a determinados sitios principalmente para presentar anuncios o estafar a víctimas que al pulsar sobre enlaces accedían a los fraudes y ataques de robo de contraseñas. Desde 2018 ha incorporado funcionalidades de criptojacking para obtener beneficios mediante el minado de criptomonedas.^[2]^[3]

Funcionamiento

Este malware se clasifica como un troyano de puerta trasera modular para sistemas Windows que es controlado desde servidor de C&C para así formar parte de una botnet. El operador puede ejecutar cualquier cosa en el huésped infectado.^[4] Para ello Stantinko tiene un loader que les permite correr cualquier ejecutable de Windows enviado por el servidor de C&C directamente en memoria. Esta funcionalidad es usada como un sistema de plugins muy flexible.^[1]

Para infectar un sistema usa el paquete de adware instalable Filetour. Engañan a los usuarios que buscan software pirata y los instan a descargar archivos ejecutables (ej. Torrents). Estos instalables instalan Filetour el cual instala de manera encubierta el primer componente de Stantinko, junto con malware y software potencialmente no deseado.^[1]^[5]

El malware está formado por varios componentes que se van instalando los unos a los otros. Para evitar la detección, muchos de estos componentes está ofuscados y algunos sólo existen en memoria, no en fichero. Los componentes, donde el anterior instala al siguiente (cadena de infección), son los siguientes:^[5]

Win32/Extenbro.DE. En los ejemplos encontrados este componente desencadena sus acciones solo si encuentra una IP rusa. Usa un algoritmo de cifrado personalizado para comunicarse en la red. Además de descargar e instalar el software para la siguiente etapa de infección, descarga e instala extensiones de navegador y un navegador especialmente diseñado para jugar pero que realmente es adware (Zaxar Game Browser).
Win32/TrojanDownloader.Stantinko. Su propósito es descargar e instalar el primer servicio persistente malicioso, el Plugin Downloader Service (PDS). Para evitar la detección crean varias variantes para realizar este componente. El código base es más o menos el mismo pero sobre él se realizan una serie de modificaciones. Este componente es instalado como un servicio, el cual permanece hasta que se ejecuta el dropper del Plugin Downloader Service. Este dropper desinstala el servicio.
El servicio persistente Plugin Downloader Service (PDS). Implementa un sistema flexible de plugins que permite cargar archivos en formato ejecutable en memoria. Su código está dividido en dos partes: el loader y una librería que contiene el código malicioso cifrado. El loader no contiene código malicioso y se encarga de descifrar y cargar en memoria el código de la librería maliciosa. La clave de cifrado es única por cada infección y consiste en una cadena resultante de la transformación del identificador de bot.

Se han encontrado distintas variantes de este componente. Todas tienen el mismo propósito pero se diferencian en que, para evitar su detección, simulan que son distintas herramientas legítimas open source. Para ello integran el código de la herramienta dentro de sí.

Se han encontrado distintos plugins de este servicio: para atacar paneles de administración de CMS (WordPress y Joomla), para instalar bot para administración remota (RAT), para instalar bot para hacer fraudes en Facebook, para quitar otro adware que se cree de la competencia (Zaxar Game Browser) y para realizar búsquedas masivas anónimas y distribuidas en Google para encontrar sitios web de Joomla y WordPress.

El servicio persistente Browser Extension Downloader Service (BEDS). Proporciona un sistema flexible de plugins para instalar extensiones maliciosas en navegadores tipo Chrome. Su código está dividido en dos partes: el loader y un código malicioso cifrado que se almacena en el registro de Windows. La clave de cifrado es única por cada infección y es el número de serie del volumen. El loader no contiene código malicioso y se encarga de descifrar y cargar en memoria el código malicioso.

Se han observado distintas variantes para implementar este servicio. Para evitar la detección, cada variante contiene un proyecto de software libre disponible en Internet y luego le añade su propio código.

Se ha usado este servicio para instalar extensiones que supuestamente eran de protección parental en el navegador pero que pueden ser configurados para hacer click fraud y inyección de anuncios ('Teddy Protection', 'The Safe Surfing')^[6] y para instalar bot que hace criptominado de monedas^[7]

Los dos servicios Windows persistentes (PDS y BEDS) se ejecutan al inicio del sistema. Cada uno tiene la habilidad de reinstalar al otro en caso de que sea borrado del sistema. Por lo tanto, para eliminar completamente la amenaza, ambos deben borrarse al mismo tiempo. Esto causa que el malware tenga un tiempo de vida más elevado en los sistemas infectados.

Referencias

↑ ^a ^b ^c ^d Stantinko: campaña masiva de adware operando en secreto desde 2012. Frédéric Vachon y Matthieu Faou. welivesecurity.com. 20 de julio de 2017
↑ ^a ^b Nueva funcionalidad de la botnet Stantinko: minado de criptomonedas. Raquel Gálvez. hispasec.com. 25 de noviembre de 2019
↑ La red de bots Stantinko infecta a miles de PCs para minar criptomonedas. Portaltic EuropaPress. 26 de noviembre de 2019
↑ Stantinko Modular Backdoor Infected Over 500,000 Computers. Catalin Cimpanu. bleepingcomputer.com. 21 de julio de 2017
↑ ^a ^b Stantinko. Teddy Bear Surfing Out of Sight. Frédéric Vachon. ESET. Julio de 2017.
↑ Stantinko botnet was undetected for at least 5 years while infecting half a million systems. Pierluigi Paganini. securityaffairs.co. 22 de julio de 2017
↑ Stantinko: botnet que añade a sus actividades un módulo para minar criptomonedas. Vladislav Hrčka. welivesecurity.com. 28 de noviembre de 2019

Datos: Q97176133

[vachon-1] Stantinko: campaña masiva de adware operando en secreto desde 2012. Frédéric Vachon y Matthieu Faou. welivesecurity.com. 20 de julio de 2017

[rgalvez-2] Nueva funcionalidad de la botnet Stantinko: minado de criptomonedas. Raquel Gálvez. hispasec.com. 25 de noviembre de 2019

[3] La red de bots Stantinko infecta a miles de PCs para minar criptomonedas. Portaltic EuropaPress. 26 de noviembre de 2019

[4] Stantinko Modular Backdoor Infected Over 500,000 Computers. Catalin Cimpanu. bleepingcomputer.com. 21 de julio de 2017

[teddybear-5] Stantinko. Teddy Bear Surfing Out of Sight. Frédéric Vachon. ESET. Julio de 2017.

[6] Stantinko botnet was undetected for at least 5 years while infecting half a million systems. Pierluigi Paganini. securityaffairs.co. 22 de julio de 2017

[minar-7] Stantinko: botnet que añade a sus actividades un módulo para minar criptomonedas. Vladislav Hrčka. welivesecurity.com. 28 de noviembre de 2019

[1]

[2]

[3]

[4]

[5]

[6]

[7]

@@ Línea 6: / Línea 6: @@
 En un principio su actividad era ganar dinero generando tráfico a determinados sitios principalmente para presentar anuncios o estafar a víctimas que al pulsar sobre enlaces accedían a los fraudes y ataques de robo de contraseñas. Desde 2018 ha incorporado funcionalidades de [[criptojacking]] para obtener beneficios mediante el minado de criptomonedas.<ref name="rgalvez">[https://unaaldia.hispasec.com/2019/11/nueva-funcionalidad-de-la-botnet-stantinko-minado-de-criptomonedas.html Nueva funcionalidad de la botnet Stantinko: minado de criptomonedas]. Raquel Gálvez. hispasec.com. 25 de noviembre de 2019</ref><ref>[https://www.europapress.es/portaltic/ciberseguridad/noticia-red-bots-stantinko-infecta-miles-pcs-minar-criptomonedas-20191126192114.html La red de bots Stantinko infecta a miles de PCs para minar criptomonedas]. Portaltic EuropaPress. 26 de noviembre de 2019</ref>
 ==Funcionamiento==
+Este malware se clasifica como un troyano de '''puerta trasera modular''' para sistemas Windows que es controlado desde [[Mando y control (malware)|servidor de C&C]] para así formar parte de una [[botnet]]. El operador puede ejecutar cualquier cosa en el huésped infectado.<ref>[https://www.bleepingcomputer.com/news/security/stantinko-modular-backdoor-infected-over-500-000-computers/ Stantinko Modular Backdoor Infected Over 500,000 Computers]. Catalin Cimpanu. bleepingcomputer.com. 21 de julio de 2017 </ref> Para ello Stantinko tiene un loader que les permite correr cualquier ejecutable de Windows enviado por el servidor de C&C directamente en memoria. Esta funcionalidad es usada como un sistema de plugins muy flexible.<ref name="vachon"/>
-Para infectar un sistema usa el [[Adware#Paquete adware|paquete de adware]] instalable [[Filetour (malware)|Filetour]]. Engañan a los usuarios que buscan software pirata y los instan a descargar archivos ejecutables (ej. [[Torrent]]s). Estos instalables instalan [[Filetour (malware)|Filetour]] el cual instala de manera encubierta el primer servicio de Stantinko, junto con [[malware]] y [[software potencialmente no deseado]].<ref name="vachon"/><ref name="teddybear">[https://www.welivesecurity.com/wp-content/uploads/2017/07/Stantinko.pdf Stantinko. Teddy Bear Surfing Out of Sight]. Frédéric Vachon. [[ESET]]. Julio de 2017. </ref>
+Para infectar un sistema usa el [[Adware#Paquete adware|paquete de adware]] instalable [[Filetour (malware)|Filetour]]. Engañan a los usuarios que buscan software pirata y los instan a descargar archivos ejecutables (ej. [[Torrent]]s). Estos instalables instalan [[Filetour (malware)|Filetour]] el cual instala de manera encubierta el primer componente de Stantinko, junto con [[malware]] y [[software potencialmente no deseado]].<ref name="vachon"/><ref name="teddybear">[https://www.welivesecurity.com/wp-content/uploads/2017/07/Stantinko.pdf Stantinko. Teddy Bear Surfing Out of Sight]. Frédéric Vachon. [[ESET]]. Julio de 2017. </ref>
+El malware está formado por varios componentes que se van instalando los unos a los otros. Para evitar la detección, muchos de estos componentes está ofuscados y algunos sólo existen en memoria, no en fichero. Los componentes, donde el anterior instala al siguiente (cadena de infección), son los siguientes:<ref name="teddybear"/>
+*Win32/Extenbro.DE. En los ejemplos encontrados este componente desencadena sus acciones solo si encuentra una IP rusa. Usa un algoritmo de cifrado personalizado para comunicarse en la red. Además de descargar e instalar el software para la siguiente etapa de infección, descarga e instala extensiones de navegador y un navegador especialmente diseñado para jugar pero que realmente es adware (Zaxar Game Browser).
+*Win32/TrojanDownloader.Stantinko. Su propósito es descargar e instalar el primer servicio persistente malicioso, el ''Plugin Downloader Service'' (PDS). Para evitar la detección crean varias variantes para realizar este componente. El código base es más o menos el mismo pero sobre él se realizan una serie de modificaciones. Este componente es instalado como un servicio, el cual permanece hasta que se ejecuta el [[dropper (malware)|dropper]] del Plugin Downloader Service. Este [[dropper (malware)|dropper]] desinstala el servicio.
+*El servicio persistente ''Plugin Downloader Service'' (PDS). Implementa un sistema flexible de plugins que permite cargar archivos en formato ejecutable en memoria. Su código está dividido en dos partes: el loader y una librería que contiene el código malicioso cifrado. El loader no contiene código malicioso y se encarga de descifrar y cargar en memoria el código de la librería maliciosa. La clave de cifrado es única por cada infección y consiste en una cadena resultante de la transformación del identificador de bot.
+:Se han encontrado distintas variantes de este componente. Todas tienen el mismo propósito pero se diferencian en que, para evitar su detección, simulan que son distintas herramientas legítimas open source. Para ello integran el código de la herramienta dentro de sí.
+:Se han encontrado distintos plugins de este servicio: para atacar paneles de administración de CMS (WordPress y Joomla), para instalar [[Troyano de acceso remoto|bot para administración remota]] (RAT), para instalar bot para hacer fraudes en Facebook, para quitar otro adware que se cree de la competencia (Zaxar Game Browser) y para realizar búsquedas masivas anónimas y distribuidas en Google para encontrar sitios web de Joomla y WordPress.
+*El servicio persistente ''Browser Extension Downloader Service'' (BEDS). Proporciona un sistema flexible de plugins para instalar extensiones maliciosas en navegadores tipo Chrome. Su código está dividido en dos partes: el loader y un código malicioso cifrado que se almacena en el [[registro de Windows]]. La clave de cifrado es única por cada infección y es el número de serie del volumen. El loader no contiene código malicioso y se encarga de descifrar y cargar en memoria el código malicioso.
+:Se han observado distintas variantes para implementar este servicio. Para evitar la detección, cada variante contiene un proyecto de software libre disponible en Internet y luego le añade su propio código.
+:Se ha usado este servicio para instalar extensiones que supuestamente eran de protección parental en el navegador pero que pueden ser configurados para hacer [[:en:click fraud|click fraud]] y [[:en:ad injection|inyección de anuncios]] ('Teddy Protection', 'The Safe Surfing')<ref>[https://securityaffairs.co/wordpress/61250/malware/stantinko-botnet.html Stantinko botnet was undetected for at least 5 years while infecting half a million systems]. Pierluigi Paganini. securityaffairs.co. 22 de julio de 2017</ref> y para instalar bot que hace criptominado de monedas<ref name="minar">[https://www.welivesecurity.com/la-es/2019/11/28/stantinko-botnet-anade-modulo-minar-criptomonedas/ Stantinko: botnet que añade a sus actividades un módulo para minar criptomonedas].  Vladislav Hrčka. welivesecurity.com. 28 de noviembre de 2019</ref>
+Los dos servicios Windows persistentes (PDS y BEDS) se ejecutan al inicio del sistema. Cada uno tiene la habilidad de reinstalar al otro en caso de que sea borrado del sistema. Por lo tanto, para eliminar completamente la amenaza, ambos deben borrarse al mismo tiempo. Esto causa que el malware tenga un tiempo de vida más elevado en los sistemas infectados.
 ==Referencias==