Stantinko僵尸网络使用YouTube挖矿Monero加密货币

Stantinko僵尸网络据认为已在全球感染了至少500,000台设备，现在已经在其工具中心化增加了加密货币技术，并且一直在使用YouTube逃避检测。

据网络安全解决方案提供商ESET的研究人员称，僵尸网络的运营商现在正在分发一个模块，该模块可挖矿针对隐私的代币门罗币。

该僵尸网络自2012年以来一直活跃，通常针对俄罗斯，乌克兰，白俄罗斯和哈萨克斯坦的用户，该僵尸网络以前曾采用其他方法，包括点击欺诈，广告注入，社交网络欺诈和加密货币窃取攻击。产生收入。

ESET研究人员表示，该模块最引人注目的功能是它如何使自身模糊不清，从而阻碍了分析并避免了检测。

他们解释说：“由于源级混淆的使用具有一定的随机性，而且斯坦汀科的运营商为每个新受害者编译了该模块，因此该模块的每个样本都是唯一的。”

研究人员指出，僵尸网络的加密货币矿模块是xmr-stak开源加密货币矿机的高度修改版本。

僵尸网络的创建者甚至在逃避出价中从恶意软件中删除了某些功能。

其余的字符串和函数被严重混淆。研究人员补充说，ESET安全产品将该恶意软件检测为Win {32,64} /CoinMiner.Stantinko。

有趣的是，CoinMiner.Stantinko并不直接与其挖矿池进行通信，而是使用其IP地址是从YouTube视频的描述文字中获取的代理。

ESET表示已就此滥用向YouTube发出警报;并且包含这些视频的所有频道现在都已删除。

研究人员说：“加密货币挖矿功能的核心是散列过程以及与代理（…）CoinMiner的通信。Stantinko设置与它发现的第一个挖矿代理的通信。”

然后，在通信开始时从挖矿代理下载哈希算法的代码并将其加载到内存中。

通过在每次执行时下载散列代码，Stantinko组可以在移动中更改此代码。

研究人员解释说：“这种变化使得例如可以适应现有货币的算法调整，并切换到挖矿其他加密货币，以便在执行时挖矿利润最高的加密货币。”

从远程服务器下载模块的核心部分并将其直接加载到内存中的主要好处是，这部分代码永远不会存储在磁盘上。这项额外的调整旨在使检测复杂化，因为这些算法中的模式对于安全产品检测而言是微不足道的。”

目前，ESET研究进行的分析表明，斯坦坦科（Stantinko）的加密货币矿模块Monero的所有实例。

通过查看挖矿代理和哈希算法提供的工作，他们得出了以下结论：

从挖矿池代理接??收的示例挖矿作业。由ESET提供。

研究人员分析了僵尸网络使用的哈希算法，发现它是CryptoNight R.

但是，值得注意的是，还有其他几种使用该算法的加密货币，这意味着它的识别能力还不够。它只是缩短了列表。

“与CoinMiner.Stantinko的其余部分不同，哈希算法不会被混淆，因为混淆会极大地影响哈希计算的速度，进而影响整体性能和盈利能力。但是，作者仍然确保不要遗漏任何有意义的字符串或文物。

—-

编译者/作者：不详

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。