Опасный вирус поразил более 100 000 компьютеров Украины

24.07.2017, 20:10
Опасный вирус поразил сотри тысяч ПК в Украине из-за рекламы - фото 1
Опасный вирус поразил сотри тысяч ПК в Украине из-за рекламы

Компания ESET, которая занимается компьютерной безопасностью, обнаружила вирус, который поразил уже свыше 500 000 компьютеров в мире. Заражение происходит незаметно, но вред потом от него крайне большой.

Исследователи словацкой антивирусной компании ESET обнаружили adware-кампанию Stantinko, успешно действующую с 2012 года. С 2015 года злоумышленникам удалось заразить более 500 000 устройств. Больше всего пострадавших в Украине (33%) и России (46%).

Разработчики Stantinko монетизируют ботнет через установку расширений для браузера Chrome, которые вставляют рекламу и занимаются кликфродом (кликанием на рекламные объявления без ведома зараженного пользователя).

Однако вредоносный сервис Windows, который устанавливается на компьютер жертвы, позволяет хакерам выполнять любые действия. Исследователи отмечали случаи установки бота, проводившего массовый поиск в Google; инструмента для брутфорс-атак на панели администраторов Joomla и WordPress, с целью их взлома и продажи; полноценного бэкдора для управления зараженной системой.

Обнаруженная кампания также примечательна тем, что злоумышленникам удалось скрывать активность вредоносного ПО в течение пяти лет. Исследователи отметили старательную обфускацию (запутывание) и шифрования вредоносного кода и структуру вредоносного ПО, которое позволяло избежать обнаружения антивирусами долгие годы.

Загрузка Stantinko (вместе с сервисами Mail.Ru вроде браузера Amigo) на компьютер жертвы происходит через еще одно вредоносной ПО — FileTour. Оно, в свою очередь, распространяется через сайты с пиратским ПО вроде Microsoft Office или играми вроде Grand Theft Auto V иногда под видами торрент-файлов. FileTour устанавливает множество программ, отвлекая внимание пользователя от загрузки компонентов Stantinko, которая происходит в фоновом режиме.

Главная функциональность Stantinko — установить два браузерных расширения для Chrome: The Safe Surfing и Teddy Protection. На момент проведения исследования ESET оба были доступны в магазине Chrome, однако сейчас уже удалены. На первый взгляд они выглядят как легитимные расширения, блокирующие нежелательные ссылки. Но во время установки они получают специальную конфигурацию, позволяющую заниматься кликфродом и встраиванием рекламы.

У Stantinko также есть специальный модуль для Facebook, который позволяет создавать через зараженные компьютеры аккаунты в соцсети, лайкать страницы и добавлять в друзья. Махинации с Facebook действительно выгодны, поскольку 1 000 лайков могут стоить около $15, хотя они и генерируются ботами.

Напомним, 27 июня была совершена хакерская атака на Украину. Вирус-вымогатель требовал 300 долларов за доступ к нужным документам. Жертвами вируса стали корпоративные сети и порталы госструктур. Сайт "Без Табу" также постадал от рук хакеров.

ESET

Публикации