MADRID, 26 Nov. (Portaltic/EP) -
La compañía de ciberseguridad ESET ha descubierto que la red de bots o botnet Stantinko ha infectado a miles ordenadores para minar criptomonedas mediante un módulo modificado para evitar la detección llamado CoinMiner.Stantinko.
Stantinko es una red que controla casi medio millón de ordenadores y desde 2012 opera contra objetivos en Rusia, Ucrania, Bielorrusia y Kazajistán. Tradicionalmente ha utilizado técnicas como fraudes en redes sociales, inyección de anuncios o robos de credenciales.
Ahora, ESET ha detectado que el grupo ha comenzado a distribuir un módulo de criptominado a los dispositivos que tienen bajo su control, como ha informado la compañía en un comunicado.
Este módulo es una versión muy modificada del criptominero de código abierto xmr-stak. CoinMiner.Stantinko utiliza técnicas de ofuscación para ocultarse para frustrar los análisis y evitar la detección.
"Debido al uso de ofuscaciones a nivel de código y de alta dosis de aleatoriedad y al hecho de que los desarrolladores compilen este módulo para cada víctima nueva hace que cada muestra de Stantinko sea única", ha afirmado la analista de malware en ESET Vladislav Hrcka.
Para ocultar su comunicación, el módulo se comunica con el 'pool' de minado a través de proxies cuyas direcciones IP se consiguen a partir de textos de descripción de vídeos de YouTube. ESET ha asegurado que ya ha informado a la plataforma de vídeos y ha recalcado que "todos los canales con vídeos relacionados han sido eliminados".
La botnet también suspende las funciones de criptominado si se usa el PC con batería o si detecta la presencia del gestor de tareas. Además comprueba si se están utilizando otras 'apps' de criptomonedas y las suspende.
Asimismo, CoinMiner.Stantinko realiza un análisis del sistema para comprobar la presencia de software de ciberseguridad en el sistema.
"En realidad CoinMiner.Stantinko está lejos de ser el malware más peligroso existente, aunque sí puede llegar a ser bastante molesto pero, sobre todo, lo que hace es utilizar el ordenador de la víctima para generar dinero para el ciberdelincuente y en última instancia podría incluso usarse con fines más dañinos", ha advertido Hrcka.