بات‌نت Stantinko پنج سال مخفیانه فعالیت می‌کرد

[ad_1]

بات‌نت Stantinko به کمک رمزنگاری که بر روی کد آن انجام شد و روش‌های مختلفی که برای دور زدن نرم‌افزارهای امنیتی به کار برد به مدت پنج سال ناشناس باقی مانده‌است. به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیتی از شرکت ای‌ست هشدار دادند که یک بات‌نت به مدت پنج‌سال ناشناخته باقی مانده‌بود و اینک توانسته‌است نزدیک به نیم‌میلیون ماشین را آلوده کند و بر روی این بات‌ها هر کاری که می‌خواهد انجام‌دهد. این بات‌نت Stantinko نام دارند و یک پویش تبلیغ‌افزاری بزرگ را از سال ۲۰۱۲ میلادی راه‌اندازی کردند که بیشتر کشورهای روسیه و اوکراین را هدف قرار داده‌است.این بات‌نت به کمک رمزنگاری که بر روی کد آن انجام شد و روش‌های مختلفی که برای دور زدن نرم‌افزارهای امنیتی به کار برده، ناشناس باقی مانده‌است. برای آغاز جاسوسی بر روی سامانه‌های هدف، این بدافزار از ابزاری به نام FileTour به‌عنوان بردار اولیه‌ی آلودگی استفاده می‌کند. این ابزار قادر خواهد بود برنامه‌های مختلفی را بر روی ماشین قربانی اجرا کند که یکی از آن‌ها بدافزار Stantinko است که در پس‌زمینه اجرا می‌شود. این بات‌نت به‌طور گسترده‌ای برای نصب افزونه بر روی مرورگرها و در ادامه تزریق تبلیغات و سودجویی از طریق کلیک اقدام می‌کند ولی برخی سرویس‌های ویندوزی نیز در این حملات ایجاد می‌شود که می‌تواند عملیات وسیع‌تری را انجام دهد. از جمله‌ی این عملیات می‌توان فعالیت‌های در پشتی، جست‌وجو در گوگل و اجرای حمله‌ی جستجوی فراگیر بر روی پنل‌های مدیریتی وردپرس و جوملا را نام برد.پس از آلوده شدن سامانه، این بدافزار دو سرویس ویندوزی مخرب را نیز راه‌اندازی می‌کند که هر کدام از آن‌ها می‌توانند در صورت حذف شدن دیگری، مجدداً آن را ایجاد کنند. بنابراین برای رفعِ کامل این آلودگی، باید هر دوی این سرویس‌ها را به‌طور همزمان حذف کرد. اگر این اتفاق نیفتد، نسخه‌ جدیدی از سرویسی که حذف شده، توسط کارگزار دستور و کنترل ارائه خواهدشد. افزونه‌های مخربی که توسط این بات‌نت نصب می‌شوند، «مرور امن» و «حفاظت تدی» نام دارند که در فروشگاه وب‌کروم توزیع شده و به نظر می‌رسد برنامه‌های قانونی هستند که آدرس‌های URL ناخواسته را مسدود می‌کنند. با این حال زمانی‌که این افزونه‌ها توسط بات‌نت نصب شدند، پیکربندی‌هایی را دریافت می‌کنند تا به کلیک‌ربایی و نمایش تبلیغات ناخواسته بپردازند.بات‌نت Stantinko حاوی یک ماژول در پشتی نیز هست که می‌تواند هرگونه پرونده‌های اجرایی ویندوز را بارگذاری کرده و به‌طور مستقیم در حافظه‌ ماشین قربانی اجرا کند. این پرونده‌های اجرایی می‌تواند از طرف کارگزار دستور و کنترل ارسال شده‌باشد. با استفاده از یک سامانه‌ مدیریت افزونه‌ انعطاف‌پذیر، مهاجمان می‌توانند هر کدی را بر روی سامانه‌ هدف اجرا کنند. نویسندگان این بدافزار بر روی کسب درآمد از طریق کلیک‌ربایی متمرکز شده‌اند. به‌نظر می‌رسد نویسندگان این بدافزار به مالکان محصولات تبلیغاتی نزدیک باشند، چرا که پس از آلودگی، کاربران مستقیم به وب‌سایت‌هایی هدایت می‌شوند که در آنها محصولاتی تبلیغ می‌شود. گروهی که پشت این بات‌نت هستند، توجه ویژه‌ای هم به حساب‌های مدیریتی جوملا و وردپرس دارند تا گواهی‌نامه‌های آنها را به سرقت برده و در بازارهای زیرزمینی بفروشند.

[ad_2]

لینک منبع

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *