Bot网络使用YouTube挖矿monero

关键事实:

  • Stantinko僵尸网络伪装自己以逃避检测机制。
  • YouTube已从平台中删除了包含Stantinko代理的视频。

被认为是Stantinko的僵尸网络被认为已感染了全球至少500,000台设备,现在已在其工具箱中添加了加密货币挖矿,并一直在使用YouTube逃避检测。

据ESET网络安全解决方案提供商的研究人员称,僵尸网络运营现在正在分发一个模块,该模块可挖矿以隐私为重点的货币Monero(XMR)。

史丹汀(Stantinko)僵尸网络以其自2012年以来一直活跃并通常以俄罗斯,乌克兰,白俄罗斯和哈萨克斯坦的用户为目标而建立,该网络以前曾采用其他方法,包括点击欺诈,广告注入,社交媒体欺诈和密码盗窃攻击以产生收益。

ESET研究人员说,该模块最显着的特征是它伪装自己的方式使分析人员感到沮丧并避免被发现。在这方面,他们解释说:“由于在源头使用伪装,具有不可预测的暗示,而且斯坦汀科操作人员为每个新受害者收集该模块,因此该模块的每个副本都是唯一的。

他们补充说,加密货币挖矿模块是xmr-stak开源加密货币挖矿器的高度修改版本。僵尸网络的创建者甚至消除了某些恶意软件功能,以试图避免被检测到。研究人员补充说,ESET安全产品发现该恶意软件为Win {32,64} / CoinMiner.Stantinko。

有趣的是,CoinMiner.Statinko并不直接与其挖矿池进行通信,而是使用其IP地址是从YouTube视频的描述性文本中获取的代理。

ESET表示已向YouTube发出有关Stantinko挖矿机器人的警报,并且包含这些视频的所有频道均已从该网站中删除。研究人员说:“加密货币挖矿功能的核心是散列过程,以及与代理(…)CoinMiner的通信。Stantinko与活动的第一个挖矿代理建立了通信。”

然后,在通信开始时下载挖矿代理哈希算法的代码,并将其上传到内存中。通过在每次运行时下载哈希代码,Stantinko组可以随时更改此代码。

«例如,此更改可以适应现有货币算法中的调整,还可以进行更改以破坏几种加密货币。他们解释说,这也许是为了在执行时破坏最有利可图的加密货币。

从远程服务器下载模块的核心部分并将其直接加载到内存中的主要好处是,这部分代码永远不会存储在磁盘上。进行此附加调整的目的是使检测复杂化,因为这些算法中的模式对于安全产品的检测而言是微不足道的。

ESET

目前,ESET研究人员进行的分析表明,Stantinko加密货币挖矿模块minan monero的所有副本。他们通过寻找挖矿代理和哈希算法提出的工作已经得出了这个结论。通过这种方式,研究人员分析了僵尸网络使用的哈希算法,发现它是CryptoNightR。

但是,值得注意的是,还有其他几种使用该算法的加密货币,这意味着这种识别是不够的。这只是缩小了范围。

«与CoinMiner.Stantinko的其余部分不同,哈希算法没有被伪装,因为伪装会大大影响哈希计算的速度,进而影响性能和盈利能力。他们得出结论,作者确保不要留下任何重要的功能。

Yessi BelloPérez的文章的翻译版本,发布在The Next Web上。

资讯来源:由0x资讯编译自CRIPTONOTICIAS。版权归作者CriptoNoticias所有,未经许可,不得转载
提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
你可能还喜欢