Los ciberdelincuentes que están detrás de la criptominería de la botnet Stantinko han ideado algunos métodos ingeniosos para evadir la detección.

El analista de malware Vladislav Hrčka de la empresa de seguridad cibernética ESET se mostró casi impresionado al revelar los últimos hallazgos de la empresa, y las posibles contramedidas, en un post de su blog. “Los criminales detrás de la botnet Stantinko están constantemente mejorando y desarrollando nuevos módulos que a menudo contienen técnicas no estándar e interesantes", escribió. 

La botnet de medio millón ha estado activa desde 2012 y se propagó a través de malware incorporado en contenido pirata. Está dirigida principalmente a usuarios de Rusia, Ucrania, Belarús y Kazajstán. Originalmente se centró en el fraude de clicks, inyección de anuncios, fraude en redes sociales y ataques de robo de contraseñas. Sin embargo, a mediados de 2018, añadió la criptominería a su arsenal con el módulo de minería Monero.

El Administrador de tareas no te ayudará

El módulo tiene componentes que detectan el software de seguridad y cierran cualquier operación de criptominería de la competencia. El módulo, hambriento de energía, agota la mayoría de los recursos de una máquina comprometida, pero suspende inteligentemente la minería para evitar la detección en el momento en que un usuario abre el Administrador de Tareas para averiguar por qué el PC funciona tan lentamente.

CoinMiner.Stantinko no se comunica directamente con la piscina minera, sino que utiliza proxies cuyas direcciones IP se adquieren a partir del texto de descripción de vídeos de YouTube.

Constantemente refinando las técnicas

ESET publicó su primer informe sobre el módulo de criptominería en noviembre del año pasado, pero desde entonces se han añadido nuevas técnicas para evadir la detección, entre ellas:

  • Ofuscación de cuerdas: se construyen cuerdas significativas y solo están presentes en la memoria cuando se van a utilizar
  • Cuerdas y recursos muertos: adición de recursos y cuerdas sin impacto en la funcionalidad
  • Ofuscación del flujo de control: transformación del flujo de control a una forma difícil de leer y que hace que el orden de ejecución de los bloques básicos sea impredecible
  • Código muerto: código que nunca se ejecuta, cuyo único propósito es hacer que los archivos parezcan más legítimos
  • Código de "no hacer nada": adición de código que se ejecuta, pero no hace nada. Esta es una forma de evitar las detecciones de comportamiento

En el informe de noviembre Hrčka señaló:

“La característica más notable de este módulo es la forma en que se ofusca para frustrar el análisis y evitar la detección. Debido al uso de ofuscaciones a nivel de la fuente con un grano de aleatoriedad y al hecho de que los operadores de Stantinko compilan este módulo para cada nueva víctima, cada muestra del módulo es única.”

El “cryptojacking” de la web disminuye después del cierre de Coinhive

En noticias relacionadas, investigadores de la Universidad de Cincinnati y de la Universidad de Lakehead en Ontario (Canadá) publicaron esta semana un documento titulado: "¿Está muerto el cryptojacking después del cierre de Coinhive?"

El script de Coinhive se instaló en sitios web y abiertamente, o subrepticiamente, minó a Monero, hasta que una gran caída en el precio de Monero durante el "criptoinvierno" lo hizo no rentable y la operación se cerró.

Los investigadores revisaron 2,770 sitios web en los que previamente se había identificado que ejecutaban scripts de criptominería para ver si todavía estaban infectados. Mientras que solo el 1% estaba minando activamente criptomonedas, otro 11.6% todavía estaba ejecutando scripts de Coinhive que intentaban conectarse a los servidores muertos de la operación.

Los investigadores concluyeron:

"El cryptojacking no terminó después de que Coinhive se cerrara. Sigue vivo, pero no es tan atractivo como antes. Se volvió menos atractivo no solo porque Coinhive descontinuó su servicio, sino también porque se convirtió en una fuente de ingresos menos lucrativa para los propietarios de los sitios web. Para la mayoría de los sitios, los anuncios siguen siendo más rentables que la minería."

No dejes de leer: