Desde principios de 2017, investigadores de ESET han estado investigando una compleja amenaza que apunta principalmente a Rusia y Ucrania. Stantinko sobresale por su prevalencia y sofisticación, por lo que resultó ser un rompecabezas difícil de armar. De a poco, fuimos poniendo cada pieza en su lugar hasta que tomó forma una imagen más grande, que expuso una campaña masiva de adware que afectó a aproximadamente medio millón de usuarios.
Haciendo mucho uso del cifrado en su código y adaptándose rápidamente para evitar la detección por parte de productos antimalware, los cibercriminales lograron permanecer fuera del radar al menos durante los últimos cinco años, atrayendo muy poca atención a sus operaciones.
Para infectar un sistema, engañan a los usuarios que buscan software pirata y los instan a descargar archivos ejecutables que, en ocasiones, se hacen pasar por torrents. FileTour, el vector de infección de Stantinko, instala luego una gran cantidad de software para distraer al usuario y hacer que centre su atención en ello. Mientras tanto, instala de manera encubierta el primer servicio de Stantinko, como mostramos en el siguiente video (en inglés).
Los operadores de Stantinko controlan una enorme botnet con la cual monetizan principalmente instalando extensiones maliciosas para navegadores, las cuales hacen inyección de anuncios publicitarios y fraude de clics. Pero no se detienen allí. Los servicios para Windows maliciosos que instalan les permiten ejecutar cualquier cosa en la máquina infectada; hemos visto que usaron a sus víctimas para enviar un backdoor plenamente funcional, un bot que hacía búsquedas masivas en Google, y una herramienta que ejecutaba ataques de fuerza bruta en paneles de administrador de Joomla y WordPress, con el objetivo de comprometerlos y potencialmente revenderlos.
La siguiente imagen muestra a Stantinko en su totalidad, desde el vector de infección hasta los servicios persistentes finales y los plugins relacionados (haz clic para agrandar):
Funcionalidades clave
Stantinko se distingue por la forma en que evade la detección antivirus y frustra el uso de ingeniería reversa para determinar si exhibe comportamiento malicioso. A tal fin, los atacantes se aseguraron de que se necesiten múltiples partes para ejecutar un análisis completo.
Siempre hay dos componentes involucrados: un loader y un componente cifrado. El código malicioso está oculto en el componente cifrado que reside ya sea en el disco o en el Registro de Windows. Este código es cargado y descifrado por un ejecutable que luce benigno. La llave para descifrar este código se genera por cada infección; algunos componentes usan el identificador de bot y otros usan el número de serie del volumen. Hacer detecciones confiables basadas en los componentes no cifrados es una tarea muy difícil, dado que los elementos que residen en el disco no exponen comportamiento malicioso hasta que son ejecutados.
Además, Stantinko tiene un poderoso mecanismo de resiliencia. Si logra comprometer el equipo, este tendrá instalados dos servicios de Windows maliciosos, que se ejecutan al inicio del sistema. Cada uno tiene la habilidad de reinstalar al otro en caso de que sea borrado del sistema. Por lo tanto, para eliminar completamente la amenaza, ambos deben borrarse al mismo tiempo. De lo contrario, el servidor de C&C puede enviar una nueva versión del servicio borrado que no es detectada aún o que contiene una nueva configuración.
Su principal funcionalidad es instalar extensiones de navegador maliciosas llamadas The Safe Surfing y Teddy Protection. Ambas estaban disponibles en la Chrome Web Store durante nuestro análisis. A primera vista, parecen extensiones legitimas que bloquean URLs indeseadas; pero, cuando son instaladas por Stantinko, reciben una configuración distinta que contiene reglas para ejecutar fraude de clics e inyección de anuncios.
En el video 2, se instala la extensión The Safe Surfing. El usuario es redirigido cuando hace clic en un enlace en el motor de búsqueda Rambler.
A continuación, en el video 2, mostramos la redirección en el sitio Rambler:
Stantinko es un backdoor modular. Sus componentes incorporan un loader que les permite correr cualquier ejecutable de Windows enviado por el servidor de C&C directamente en memoria. Esta funcionalidad es usada como un sistema de plugins muy flexible, que le permite a los operadores ejecutar cualquier cosa en un sistema infectado. La siguiente tabla es una descripción de los plugins conocidos de Stantinko.
Nombre del módulo | Análisis |
---|---|
Brute-force | Ataque de diccionario distribuido en paneles de administración de Joomla y WordPress. |
Search Parser | Realiza búsquedas masivas anónimas y distribuidas en Google para encontrar sitios web de Joomla y WordPress. Utiliza sitios web comprometidos de Joomla como servidores C&C. |
Remote Administrator | Backdoor que implementa una gama completa de acciones, desde el reconocimiento hasta la filtración de datos. |
Facebook Bot | Bot que hace fraude en Facebook. Sus capacidades incluyen la creación de cuentas, dar Me gusta a imágenes o páginas y añadir amigos. |
Monetización
Aunque los creadores de Stantinko usan métodos que se suelen ver más en campañas de APT, su objetivo final es ganar dinero. Por lo tanto, están presentes en los mercados de cibercrimen más rentables.
Primero, el fraude de clics es hoy en día una gran fuente de ingresos en el ecosistema cibercriminal. Una investigación conducida por la firma White Ops y por la Asociación Nacional de Anunciantes de los Estados Unidos estimó que su costo global es de 6,5 billones de dólares para 2017.
Como explicamos arriba, Stantinko instala dos extensiones para el navegador, The Safe Surfing y Teddy Protection, las cuales inyectan anuncios publicitarios o redirigen al usuario. Esto les permite a los operadores del malware cobrar por el tráfico que proveen a esos anunciantes; la figura 4 es un resumen del proceso de redirección.
Nuestro análisis también muestra que los operadores son muy cercanos a los anunciantes. En algunos casos, incluido el ejemplo en la figura 4, el usuario llegará al sitio web del anunciante directamente después de pasar por la red de anuncios que es propiedad de Stantinko.
Por otro lado, el malware de fraude de clics típico se basa en una serie de redirecciones entre varias redes de anuncios para blanquear su tráfico malicioso. Esto muestra que los operadores de Stantinko no solo son capaces de desarrollar un malware altamente sigiloso, sino que también pueden abusar de la economía tradicional sin ser atrapados.
Segundo, también intentan obtener acceso a cuentas de administrador en sitios basados en Joomla y WordPress. Su ataque es de fuerza bruta, basado en una lista de credenciales; el objetivo es adivinar la contraseña probando decenas de miles de combinaciones distintas. Una vez que comprometen las cuentas, estas pueden ser revendidas en el mercado negro y luego ser utilizadas para redirigir a quienes visitan los sitios a exploit kits, o para alojar contenido malicioso.
Tercero, nuestro estudio también muestra cómo Stantinko hace fraude en las redes sociales, de una manera similar a la que investigadores de ESET describieron en el análisis de Linux/Moose. Es altamente rentable, ya que, por ejemplo, las recompensas rondan los 15 dólares por cada 1.000 likes en Facebook, aunque son generados por cuentas falsas controladas por una botnet.
Los operadores de Stantinko desarrollaron un plugin que puede interactuar con Facebook. Es capaz de, entre otras cosas, crear cuentas, dar Me gusta a una página o añadir un amigo. Para evadir el captcha de Facebook, usa un servicio anti-captcha online, que se muestra en la figura 5.
El tamaño de la botnet de Stantinko es una ventaja, ya que permite a los operadores distribuir las consultas entre todos los bots, lo cual dificulta que Facebook detecte este tipo de fraude.
Conclusión
Stantinko es una botnet principalmente dedicada al fraude relacionado a anuncios publicitarios. Usando técnicas avanzadas como el cifrado del código y su almacenamiento en el Registro de Windows, los cibercriminales pudieron permanecer fuera del radar durante los últimos cinco años, lo cual permitió que formaran una red de aproximadamente 500.000 equipos infectados.
También lograron publicar sus dos extensiones que hacen inyección de anuncios en la tienda de Google Chrome. Una de ellas se publicó por primera vez en la Chrome Web Store en noviembre de 2015.
Aunque no es notorio para el usuario, dada la ausencia de tareas intensas en la CPU, Stantinko es una amenaza grande, ya que provee una gran fuente de ingresos fraudulentos a los cibercriminales. Además, la presencia de un backdoor plenamente funcional les permite espiar a las máquinas infectadas.
El análisis técnico completo de Stantinko y los indicadores de sistemas comprometidos están en nuestro white paper y en nuestra cuenta de Github. Para consultas o envíos de muestras relacionadas a este tema, contáctanos a: threatintel@eset.com.