Anuncios publicitarios falsos, búsquedas masivas en Google y creación de cuentas falsas en Facebook son las capacidades de Stantinko, un malware que durante años ha evolucionado sus capacidades de ataque e infección. En total, según la empresa de seguridad Eset, ha afectado a 500 mil usuarios en el mundo y no parece detenerse.
Stantinko, nombre con el que se conoce a este malware, es una red de bots capaces de monetizar por medio de extensiones a los navegadores. Este software malicioso está conformado por dos complementos disponibles en Google Chrome Store llamados ‘Safe Surfing’ y ‘Teddy Protection’, los cuales son configurados con parámetros de malware por parte de los atacantes. Una vez el malware se infiltra en el sistema, quienes controlan a Stantinko pueden utilizar complementos para ejecutar diferentes acciones dentro del sistema infectado.
Esto incluye la realización de búsquedas anónimas masivas para encontrar sitios de Joomla y WordPress, realizar ataques de fuerza bruta en estos sitios, encontrar y robar datos o crear cuentas falsas en Facebook. Al realizar ataques de fuerza bruta logran probar miles de contraseñas diferentes hasta adivinar las credenciales de acceso. Además, la información robada de los sitios víctimas también la pueden vender en el mercado negro.
“Es difícil deshacerse de Stantinko, ya que cada servicio de componentes tiene la capacidad de reinstalar el otro en caso de que uno sea eliminado del sistema. Para borrar completamente el problema, el usuario tiene que eliminar ambos servicios de su máquina al mismo tiempo”, explicó Frédéric Vachon, investigador de malware de Eset.
También te puede interesar: Cinco consejos para que tu pyme esté segura en la red.
En la mayoría de los casos, las víctimas son infectadas en su búsqueda por encontrar software pirata. Cuando la persona descarga el archivo ejecutable, confía en que sea el programa que buscó, pero en ese momento se instala el malware. Por medio de FileTour, vector de infección de Stantinko, instala un gran paquete de software para distraer al usuario. Mientras tanto, instala de forma silenciosa el primer componente del malware.
“Stantinko se distingue por la forma en que evade la detección antivirus y frustra el uso de ingeniería reversa para determinar si exhibe comportamiento malicioso. A tal fin, los atacantes se aseguraron de que se necesiten múltiples partes para ejecutar un análisis completo”, explicó la compañía a través de su blog.
Un malware invencible
Además, Stantinko tiene un poderoso mecanismo de resiliencia. Si logra comprometer el equipo, este tendrá instalados dos servicios de Windows maliciosos que se ejecutan al inicio del sistema. Cada uno tiene la habilidad de reinstalar al otro en caso de que sea borrado del sistema. Por lo tanto, para eliminar completamente la amenaza, ambos deben borrarse al mismo tiempo. De lo contrario, el servidor puede enviar una nueva versión del servicio borrado que no es detectada aún o que contiene una nueva configuración.
Imagen: iStock.