Le 26 novembre 2019 - Les gestionnaires du botnet Stantinko - qui contrôlent environ un demi-million d’ordinateurs et qui sont actifs depuis environ 2012 – visent principalement la Russie, l’Ukraine, la Biélorussie et le Kazakhstan mais d’autres pays s’ajoutent à cette liste. Depuis peu, ils ont développé un nouveau modèle d’entreprise. « Après des années d'utilisation de fraude au clic, d’injection d'annonces, de fraude sur les réseaux sociaux et de vol d'identité, Stantinko a commencé à exploiter Monero. Depuis août 2018, ces gestionnaires se sont mis à distribuer, aux ordinateurs qu’ils contrôlent, un module de cryptomining, » explique Vladislav Hrčka, analyste malware chez ESET, responsable de ces travaux de recherche.

Le module de cryptomining Stantinko, CoinMiner.Stantinko, détecté par le produit de sécurité ESET, est une version fortement modifiée du le cryptominer open-source xmr-stak. La caractéristique principale de ce module est la façon dont il est dissimulé pour empêcher l’analyse et éviter la détection. « L’utilisation de technologie d’obscurcissement aléatoire au niveau de la source, ainsi que le fait le module soit compilé pour chaque nouvelle victime, rend unique chaque exemplaire du module en question » ajoute Vladislav Hrčka.

En plus d‘obscurcissement, CoinMiner.Stantinko utilise des astuces intéressantes. Afin de cacher ses communications, le module ne communique pas directement avec son pool d’extraction, mais par le biais de serveurs proxy dont les adresses IP sont acquises à partir du texte de description de vidéos YouTube. (Une technique similaire pour cacher les données dans des descriptions de vidéos YouTube est utilisé par le malware bancaire Casbaneiro, récemment détecté par les chercheurs d’ESET.)

« Nous avons signalé cet abus à YouTube et toutes les chaines avec ces vidéos ont été supprimées, » commente Vladislav Hrčka.

Afin de ne pas éveiller la suspicion des victimes, CoinMiner.Stantinko suspend la fonction de cryptographie lorsque le PC est alimenté par la batterie ou qu'un gestionnaire de tâches est détecté. Il vérifie également si d’autres applications de crytomining sont exécutées sur l'ordinateur et les suspendent éventuellement. Toujours à la recherche de logiciels de sécurité, CoinMiner.Stantinko analyse aussi tous les processus en cours.

Vladislav Hrčka met en garde : « Alors que CoinMiner.Stantinko est loin d’être le malware le plus dangereux qui soit, c’est ennuyeux que l’ordinateur soit occupé à faire de l’argent pour des criminels. Mais ce qui est encore plus alarmant, c’est que Stantinko pourrait installer, n’importe quand sur les ordinateurs des victimes, d’autres malwares pouvant être dommageables."

Afin que les utilisateurs soient à l’abri de telles menaces, les chercheurs d’ESET recommandent d’observer les principes de base de sécurité et d’utiliser une solution de sécurité réputée.