Stantinko僵尸网络策划者使用YouTube挖掘未发现的加密货币

 
Stantinko僵尸网络一直在通过YouTube挖掘加密货币，以避免被发现。全球已有超过500,000台设备感染了恶意软件。僵尸网络的策划者正在分发一种定制挖矿Monero和其他数字硬币的加密挖矿工具。
僵尸网络针对乌克兰，哈萨克斯坦，俄罗斯和白俄罗斯地区。然后，该恶意软件使用不同的方法来筹集资金，其中包括密码破解，广告注入，点击欺诈和社交媒体骗局。
根据ESET进行的研究，该恶意软件会混淆自己，破坏分析并避免被检测到。混淆是随机进行的，每个Stantinko模块对于每个受害者的设备都是唯一的。
ESET的研究还发现，加密货币挖掘恶意软件是开源xmr-stak加密矿机的混合版本。为了确保无法检测到它们，僵尸网络专家已从恶意软件中删除了一些功能，这些功能很容易被检测到。
ESET安全将其检测为CoinMiner.Stantinko或Win(32/64)恶意软件，该恶意软件并未与挖矿池进行明确通信，而是通过具有YouTube视频描述文本中IP地址的代理进行通信。接下来是从加密挖掘代理下载哈希算法代码，然后将其存储在内存中。 ESET表示已将此类空间滥用情况告知YouTube，该公司已撤回所有包含这些视频的频道。
根据ESET研究人员的说法，可以在每次下载期间更改哈希码，从而使僵尸网络团队可以轻松调整货币算法并切换到挖掘其他可盈利的加密货币。
“当从远程服务器下载模块并将其明确加载到内存中时，模块的核心部分永远不会存储在磁盘中。研究人员报告说，由于算法模式难以检测，因此该过程使检测过程复杂化。
ESET已确定CoinMiner.Stantinko的哈希算法为CryptoNightR。此加密货币挖掘模块已用于挖掘硬币门罗币。但是，还有其他使用相同算法的加密货币。
“哈希算法是CoinMiner.Stantinko的唯一组成部分，不会被混淆，因为这会导致哈希计算速度变慢，从而导致利润低。”