De specialist in computerbeveiliging ESET heeft een complexe malware bestudeerd van een nieuwe stam van malware, die tot nu al 500.000 slachtoffers gemaakt heeft. In zijn laatste witboek analyseert het bedrijf de malware die Stantinko genoemd wordt en als zeer discreet gekwalificeerd wordt. Concreet brengt die malware zijn slachtoffers ertoe om een gehackte software te downloaden vanop valse torrent-sites. In de voorbije vijf jaar heeft hij zichzelf voortdurend gewijzigd om ontdekking te voorkomen.

Stantinko richt zich vooral tot Russisch sprekende gebruikers; het is een botnet dat zichzelf financiert door browser-extensies te installeren die valse advertenties injecteren tijdens het surfen op het web. Na installatie op de machine kan hij op anonieme wijze massale zoekopdrachten uitvoeren op Google en valse Facebook-accounts aanmaken die afbeeldingen, pagina`s en vrienden kunnen `liken`.

Een onderzoek, uitgevoerd door White Ops en de Association of National Advertisers, meent dat de fraude per click bedrijven in de VS een 6,5 miljard dollar zou kunnen kosten in één jaar tijd. Details over de sites die slachtoffer worden van brute force aanvallen kunnen eveneens verkocht worden op het dark web, nadat die sites met Stantinko besmet zijn, dat de wachtwoorden raadt door duizenden verschillende identiteiten te gebruiken. Zo beschikken de operatoren van Stantinko over een tool waarmee zij fraude kunnen plegen op Facebook, door er `likes` te verkopen, om illegaal de aandacht van argeloze gebruikers te trekken.

De plug-ins The Safe Surfing en Teddy Protection zijn in staat om reclame te injecteren of de gebruikers door te verwijzen. "Hiermee kunnen de operatoren van Stantinko betaald worden voor het verkeer dat zij aan die advertenties bezorgen. Wij hebben zelfs ontdekt dat gebruikers rechtstreeks de site van de adverteerders bezoeken via reclame die aan Stantinko behoort", legt Matthieu Faou tot besluit uit, malware onderzoeker bij ESET.

"Dat Stantinko in staat is om ontdekking door de antivirus te voorkomen, is te wijten aan het feit dat hij zich verbergt in code die perfect legitiem lijkt. Door gebruik te maken van geavanceerde technieken wordt de malware verborgen of versleuteld in een bestand of Windows register. Hij wordt dan ontcijferd door een sleutel te gebruiken die gegenereerd werd bij de initiële infectie. Zijn malware-gedrag kan pas ontdekt worden wanneer hij nieuwe onderdelen van zijn commando- en controleserver ontvangt, wat het moeilijk maakt om hem te ontdekken".