Malware

Stantinko: แผนการ Adware ขนาดใหญ่ที่ทำงานมาตั้งแต่ปี 2012

แผนการโปรแกรมอันตรายฝีมือแฮกเกอร์ที่แอบทำงานมากว่า 5 ปี

ตั้งแต่ต้นปี 2017 นักวิจัยของ ESET ได้สำรวจภัยคุกคามในยูเครนและรัสเซียที่มีความซับซ้อนสูงชื่อว่า Stantinko การตรวจสอบทำได้ค่อนข้างลำบาก เหมือนทีมนักวิจัยต้องคอยหาชิ้นส่วนจิ๊กซอว์มาประกอบกัน จนกระทั่งเห็นภาพ และพบว่าแผนการนี้มีขนาดใหญ่มาก และเข้าผู้ใช้ไปแล้วกว่าครึ่งล้านคน

ด้วยโค้ดที่เข้ารหัสและออกแบบมาเพื่อหลบการตรวจจับของโปรแกรมแอนตี้ไวรัส ผู้ดำเนินการ Stantinko หลบหนีการตรวจจับมากว่า 5 ปีเป็นอย่างน้อย และไม่มีใครพูดถึงเลย

Stantinko เข้าไปในระบบของผู้ใช้ผ่านโปรแกรมเถื่อน (Crack) หรือบางครั้งแฝงตัวอยู่ในไฟล์บิท (Torrent) โดยโปรแกรม FileTour ของ Stantinko จะติดตั้งซอฟต์แวร์จำนวนมากเพื่อก่อกวนผู้ใช้ และในขณะเดียวกันก็ติดตั้งตัว Stantinko อย่างลับๆ

ในวิดีโอด้านล่างจะแสดงถึงกระบวนการติดตั้งของ Stantinko:

ผู้อยู่เบื้องหลัง Stantinko มีกองกำลังบอทเน็ตจำนวนมหาศาลที่ใช้เพื่อสร้างรายได้ให้พวกเขาผ่านโปรแกรมเสริมในเบราว์เซอร์ ที่คอยเปิดโฆษณาและ Pop-up ให้ผู้ใช้คลิกเข้าโดยบังเอิญ แต่ไม่ได้หยุดเพียงเท่านั้น เพราะตัวโปรแกรมเสริมดังกล่าวยังมี Windows service ที่สามารถติดตั้งอะไรบางอย่างบนเครื่องเหล่านั้นได้อีกด้วย ทีมของเราเห็นพวกเขาใช้บอทในการเสิร์ชบน Google และเครื่องมือที่ใช้ในการเจาะรหัสผ่านบนเว็บไซต์ WordPress และ Joomla เพื่อนำบัญชีเหล่านั้นไปขาย

ความสามารถของ Stantinko

Stantinko สามารถหลบการตรวจจับของแอนตี้ไวรัสได้ และป้องกันตัวเองจากเกาะรอยโค้ด แฮกเกอร์จึงต้องใช้อุบายแบ่งส่วนประกอบออกเป็น 2 ส่วนคือ Loader และส่วนประกอบที่เข้ารหัสไว้ อย่างที่พอจะคาดเดาได้ โค้ดอันตรายซ่อนตัวอยู่ในส่วนประกอบที่เข้ารหัสไว้และฝังตัวอยู่ดิสก์หรือ Windows Registry และรอจนกว่าไฟล์ Loader จะเริ่มทำงาน

นอกจากนี้ Stantinko ยังมีกระบวรการทำงานที่ยืดหยุ่น หลังจากเข้าไปอยู่ในเครื่องของผู้ใช้ ภายในเครื่องจะมี Windows services อันตราย 2 ตัวที่เริ่มทำงานทันทีที่เครื่องเปิด และทั้ง 2 ตัวนี้ยังสามารถติดตั้งอีกตัวหนึ่งหากมีตัวไหนถูกถอนการติดตั้งออกไป เพราะฉะนั้นทางเดียวที่จะกำจัดมันทิ้งได้ต้องถอนการติดตั้งทั้งสองตัวพร้อมกัน

ฟังก์ชั่นหลักของ Stantinko คือการติดตั้งส่วนเริมของเบราว์เซอร์ที่ชื่อว่า The Safe Surfing และ Teddy Protection ซึ่งทั้งสองตัวมีหน้าตาที่ค่อนข้างเป็นมิตรดูหม่มีพิษภัย และเหมือนกับส่วนเสริมทั่วๆไป แต่แท้จริงแล้วมันซ่อนการตั้งค่าและโฆษณาเอาไว้

ในวิดีโอด้านล่างนี้จะเป็นภาพและวิดีโอหลังจากติดตั้ง The Safe Surfing:

teddy-protection-1024x646

chrome-store-safesurfing-1024x641

Stantinko เป็นโปรแกรมที่ซ่อนอยู่ในเครื่องและมีส่วนประกอบที่ทำให้แฮกเกอร์สามารถสั่งการเปิดไฟล์ผ่านเซิร์ฟเวอร์ C&C ได้โดยตรงผ่านหน่วยความจำ โดยปลั๊กอินของ Stantinko มีดังนี้

Brute Force – คาดเดารหัสผ่านของผู้ดูแลเว็บไซต์ Joomla และ WordPress
Search Parser – ใช้ Search Engine อย่าง Google เพื่อค้นหาเว็บไซต์ที่สร้างโดย Joomla และ WordPress
Remote Administrator – สำรวจและขโมยข้อมูลภายในเครื่อง
Facebook Bot – บอทที่ใช้เพื่อทำกิจกรรมปลอมบน Facebook อย่างการสร้างบัญชี ไลค์รูปหรือเพจ และเพิ่มเพื่อน

ภาพรวม

Stantinko เป็นบอทเน็ตที่ทำงานหากินกับโฆษณา ด้วยเทคนิคระดับสูงอย่างการเข้ารหัส และการซ่อนตัวใน Windows Registry อีกทั้งยังแอบทำงานมาเป็นเวลากว่า 5 ปี และเข้าถึงผู้ใช้มากกว่า 500,000 เครื่อง และยังมีส่วนเสริมบนเบราว์เซอร์ของ Google Chrome ให้ดาวน์โหลดบน Chrome Web Store 2 ตัว

Stantinko นับเป็นแผนการขนาดใหญ่ที่สร้างรายได้จำนวนมากให้กับแฮกเกอร์ และยังสามารถสอดแนมเครื่องคอมพิวเตอร์ของผู้ใช้ได้ด้วย

Author: FRÉDÉRIC VACHON และ MATTHIEU FAOU
Source:
https://www.welivesecurity.com/2017/07/20/stantinko-massive-adware-campaign-operating-covertly-since-2012/
Translated by: Worapon H.

%d bloggers like this: