Les chercheurs d’ESET ont découvert que les cybercriminels exploitant le botnet Stantinko, composé de près de 500 000 ordinateurs, déploient maintenant un module de minage Monero sur les appareils qu’ils contrôlent.

Actifs depuis 2012 au minimum, les responsables du botnet Stantinko contrôlent près d’un demi-million d’ordinateurs et ciblent principalement la Russie, l’Ukraine, la Biélorussie et le Kazakhstan. Récemment, ils ont déployé un nouveau modèle économique.

« Après des années d’activités basées sur la fraude au clic, l’injection de publicités, la fraude sur les réseaux sociaux et le vol d’identifiants, Stantinko mine maintenant Monero. Depuis août 2018 au moins, les cybercriminels derrière ce botnet déploient un module de cryptomining sur les ordinateurs qu’ils contrôlent », explique Vladislav Hrčka, l’analyste malware responsable de cette enquête chez ESET.

Identifié par les produits de sécurité d’ESET sous la dénomination Win{32,64}/CoinMiner.Stantinko, ce module de cryptomining est une version considérablement modifiée du cryptominer open source xmr-stak. Il se démarque surtout par sa technique d’obscurcissement visant à résister aux analyses et à éviter la détection. « En plus de sa méthode d’obscurcissement à la source reposant partiellement sur le hasard, ce module est compilé individuellement par les opérateurs de Stantinko pour chaque nouvelle victime : par conséquent, chaque échantillon est unique », ajoute M. Hrčka.

En parallèle à l’obscurcissement, CoinMiner.Stantinko utilise plusieurs techniques intéressantes.

Pour masquer ses communications, le module n’interagit pas directement avec son pool de minage : il passe par des proxies dont les adresses IP figurent dans des descriptifs de vidéos YouTube. (Le malware bancaire Casbaneiro récemment analysé par les chercheurs d’ESET utilise une approche similaire pour dissimuler des données dans l’espace de description des vidéos YouTube.)

« Nous avons informé YouTube de ces activités abusives et la plateforme a supprimé toutes les chaînes liées à ces vidéos », déclare M. Hrčka.

Pour ne pas éveiller les soupçons des victimes, CoinMiner.Stantinko peut également suspendre sa fonction de cryptomining lorsque l’ordinateur fonctionne sur batterie ou lorsqu’il détecte un gestionnaire de tâches. Il peut également détecter les éventuelles autres applications de cryptomining en cours d’exécution sur l’ordinateur et suspendre leur fonctionnement. CoinMiner.Stantinko est aussi capable d’analyser les processus en cours d’exécution pour identifier les logiciels de sécurité.

« CoinMiner.Stantinko est loin d’être le plus dangereux des malwares, mais personne n’a envie que son ordinateur enrichisse les cybercriminels en arrière-plan. Et à tout moment, Stantinko pourrait déployer un nouveau malware potentiellement dangereux sur les postes infectés, ce qui est assez préoccupant », conclut Vladislav Hrčka.

Les chercheurs d’ESET conseillent aux utilisateurs de respecter les principes de sécurité de base et d’utiliser des logiciels fiables pour se protéger contre ce type de menace.

Lire aussi  OPPO porte des lettres d'encouragement du public aux joueurs de l'équipe nationale tunisienne et lève le drapeau tunisien lors de la Coupe d'Afrique des Nations en Égypte

Pour en savoir plus, consultez l’article « Stantinko botnet adds cryptomining to its pool of criminal activities » sur WeLiveSecurity.