Según el último reporte de la firma de ciberseguridad ESET, los operadores responsables del botnet Stantinko están utilizando páginas y canales en Youtube para instalar un malware de cryptojacking en las computadoras de los usuarios.
El descubrimiento de Stantinko se remonta al 2017 aunque según los investigadores, este botnet está en uso desde 2012 al menos. Su principal objetivo son usuarios de Rusia, Ucrania, Bielorrusia y Kazajistán.
Además, el reporte expresa que:
«… una criptomoneda cuyo tipo de cambio ha oscilado en 2019 entre 50 y 110 dólares, ha sido la funcionalidad de monetización de la botnet desde al menos agosto de 2018. Antes de eso, la botnet realizó ataques de fraude de clics, inyección de anuncios, fraude de redes sociales y robo de contraseñas».
Estas tácticas usadas por el botnet se asemejan a otros ataques previos de cryptojacking. Como comentamos recientemente, Perú y Rusia son los líderes en reportes de cryptojacking en todo el mundo.
De manera breve, el cryptojacking se define como un malware instalado en la computadora de un usuario sin su consentimiento para iniciar un programa que mina criptomonedas. De esta forma, el ciberdelincuente toma el poder de procesamiento de la computadora infectada para minar y reducir la eficiencia.
La diferencia de Stantinko
Stantinko tiene una dificultad mayor a otros malware ya registrados; según el reporte de ESET, cada módulo instalado para minar criptomonedas es diferente.
«Debido al uso de ofuscaciones en el nivel de origen con una gran cantidad de aleatoriedad y al hecho de que los operadores de Stantinko compilan este módulo para cada nueva víctima, cada muestra del módulo es única».
ESET ya contactó a Youtube debido a este descubrimiento y la plataforma supuestamente ya eliminó las páginas infectadas. Anteriormente habían atacado a los sitios Joomla y WordPress para obtener las credenciales de servidor con el objetivo, probablemente, de venderlas a otros delincuentes.
