La botnet que mina criptomonedas aprovechándose de los PC de sus víctimas
ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha descubierto las nuevas actividades de Stantinko, una botnet que controla aproximadamente medio millón de ordenadores y que opera contra objetivos en Rusia, Ucrania, Bielorrusia y Kazajstán desde 2012 y que ahora estaría infectando miles de PC para minar criptomonedas.
“Después de años confiando su modelo de negocio en el fraude de clics, inyección de anuncios, fraude en redes sociales y robo de credenciales, Stantinko ha empezado a minar la criptodivisa Monero. Al menos desde agosto de 2018, los ciberdelincuentes de este grupo están distribuyendo un módulo de criptominado a los dispositivos que tienen bajo control”, afirma Vladislav Hrcka, analista de malware en ESET responsable de esta investigación.
El módulo de criptominado de Stantinko, detectado por ESET como Win{32,64}/CoinMiner.Stantinko, es una versión muy modificada del criptominero de código abierto xmr-stak. Lo más interesante del módulo es la forma en la que se oculta para frustrar los análisis y evitar la detección. “Debido al uso de ofuscaciones a nivel de código y de altas dosis de aleatoriedad y al hecho de que los desarrolladores compilen este módulo para cada víctima nueva hace que cada muestra de Stantinko sea única”, explica Hrcka.
Además de las técnicas de ofuscación, CoinMiner.Stantinko emplea algunos trucos muy interesantes. Para ocultar su comunicación, el módulo no se comunica con el pool de minado directamente, sino a través de proxies cuyas direcciones IP se consiguen a partir de los textos de descripción de los vídeos de YouTube, de forma similar a como lo hace el malware bancario Casbaneiro. “ESET ya ha informado a YouTube de este abuso y todos los canales con vídeos relacionados han sido eliminados”, confirma Hrcka.
Para evitar sospechas, CoinMiner.Stantinko suspende las funciones de criptominado si se usa el PC con batería o si se detecta la presencia del gestor de tareas. Asimismo, comprueba si se están utilizando otras aplicaciones de criptomonedas y las suspende. CoinMiner.Stantinko también realiza un análisis del sistema para comprobar la presencia de software de ciberseguridad en el sistema.
“En realidad CoinMiner.Stantinko está lejos de ser el malware más peligroso existente, aunque sí puede llegar a ser bastante molesto pero, sobre todo, lo que hace es utilizar el ordenador de la víctima para generar dinero para el ciberdelincuente y en última instancia podría incluso usarse con fines más dañinos”, advierte Hrcka.