Вредоносный сервис Stantinko поразил более 100 тысяч устройств в Украине
Исследователи словацкой антивирусной компании ESET обнаружили adware-кампанию Stantinko, успешно действующую с 2012 года.
Об этом со ссылкой на Ain сообщает Бизнес Цензор.
С 2015 года злоумышленникам удалось заразить более 500 000 устройств. Больше всего пострадавших в Украине (33%) и России (46%).
Разработчики Stantinko монетизируют ботнет через установку расширений для браузера Chrome, которые вставляют рекламу и занимаются кликфродом (кликанием на рекламные объявления без ведома зараженного пользователя).
Однако вредоносный сервис Windows, который устанавливается на компьютер жертвы, позволяет хакерам выполнять любые действия.
Исследователи отмечали случаи установки бота, проводившего массовый поиск в Google; инструмента для брутфорс-атак на панели администраторов Joomla и WordPress, с целью их взлома и продажи; полноценного бэкдора для управления зараженной системой.
Обнаруженная кампания также примечательна тем, что злоумышленникам удалось скрывать активность вредоносного ПО в течение пяти лет. Исследователи отметили старательную обфускацию (запутывание) и шифрования вредоносного кода и структуру вредоносного ПО, которое позволяло избежать обнаружения антивирусами долгие годы.
Загрузка Stantinko (вместе с сервисами Mail.Ru вроде браузера Amigo) на компьютер жертвы происходит через еще одно вредоносной ПО — FileTour. Оно, в свою очередь, распространяется через сайты с пиратским ПО вроде Microsoft Office или играми вроде Grand Theft Auto V иногда под видами торрент-файлов. FileTour устанавливает множество программ, отвлекая внимание пользователя от загрузки компонентов Stantinko, которая происходит в фоновом режиме.
Главная функциональность Stantinko — установить два браузерных расширения для Chrome: The Safe Surfing и Teddy Protection. На момент проведения исследования ESET оба были доступны в магазине Chrome, однако сейчас уже удалены. На первый взгляд они выглядят как легитимные расширения, блокирующие нежелательные ссылки. Но во время установки они получают специальную конфигурацию, позволяющую заниматься кликфродом и встраиванием рекламы.
На видео видно, как с установленным The Safe Surfing при клике на ссылку в Rambler пользователь перенаправляется на другой сайт.
Перенаправление пользователя или встраивание рекламы позволяет операторам Stantinko зарабатывать на трафике, который они предоставляют рекламодателям. Кликфрод — одно из наиболее прибыльных занятий для киберпреступников. Согласно исследованию компании White Ops и Ассоциации национальных рекламодателей общий объем рынка кликфрода в 2017 году составит $6,5 млрд.
У Stantinko также есть специальный модуль для Facebook, который позволяет создавать через зараженные компьютеры аккаунты в соцсети, лайкать страницы и добавлять в друзья. Махинации с Facebook действительно выгодны, поскольку 1 000 лайков могут стоить около $15, хотя они и генерируются ботами.
Еще один способ заработка злоумышленников — использование ботнета из зараженных компьютеров для взлома панелей администраторов сайтов на базе Joomla или WordPress. С помощью специального модуля, устанавливаемого на компьютер жертвы, хакеры проводили брутфорс-атаки, пытаясь методом перебора найти пароль учетной записи администратора. При успешном взломе, данные могли перепродаваться в дарквебе.
В полном тексте исследования ESET (PDF) содержится список из взломанных сайтов, среди которых есть несколько украинских. К примеру, сайт Первомайского политехнического института, использующий Joomla.
В конце текста также имеется список файлов, ассоциирующихся с Stantinko. Но главным индикатором заражения является наличие расширений Teddy Protection и The Safe Surfing в браузере Chrome.
хромки, даже пасле переустановки винды - дранная розетка сидит. И самое главное
сидит ТОЛЬКО на цензоре - на других сайтах блокирует хорошо.
Кстати - это все ссылки на recreativ.ru - все оттуда лезет. Я уже пробовал ввести
прямым вводом в адблок - нифига не получается.
Вопрос СПЕЦАМ помогите избавится от этого гемороя.
https://forums.lanik.us/viewtopic.php?f=102&t=22512
Мне помогло. Никакой рекламы, никаких "розеток".
RU AdList JS Fixes
https://greasyfork.org/ru/scripts/19993-ru-adlist-js-fixes RU AdList JS Fixes - пакет* специальных скриптов для корректной блокировки рекламы на некоторых проблемных сайтах. Для использования потребуется предварительно установить расширение https://tampermonkey.net/ Tampermonkey (для Firefox https://addons.mozilla.org/ru/firefox/addon/greasemonkey/ Greasemonkey ).
* Данные пакеты имеют разный фунционал и не заменяют друг друга, а дополняют.
ну одни вундеркинды ей Богу!...
зы если видишь рекламу на "цензоре" - значит я правда умнее тебя, потому как у меня рекламы нет.
блокираторы давно стоят, не помогают.
Серверы за бесплатно никто не предоставляет, - их, как и трафик, нужно как-то оплачивать. Лучше уж реклама солидной "розетки", чем любоваться баннерами разных прокладок, прыщей и членоудлиннителей, как бывает на многих сайтах.
И да, для самых нетерпимых существуют разные антибаннеры.
И да, "розетка" пролазит через все антибанеры, жду еще "умных" советов.
Переходите на Symantec Endpoint Protection Client 14 RU - бесплатный антивирус, файервол и вообще много чего еще. Отловил все эти шифраторы и не грузит систему.