Рекламный ботнет Stantinko заразил 500 тысяч компьютеров

Александр Панасенко 21 Июля 2017 - 13:59

...

Рекламный ботнет Stantinko заразил 500 тысяч компьютеров

Исследователи ESET обнаружили ботнет Stantinko, который специализируется на рекламном мошенничестве. В настоящее время заражено около 500 000 компьютеров, в числе жертв преобладают пользователи из России (46%) и Украины (33%). Stantinko – сложная комплексная угроза, активная как минимум с 2012 года.

Шифрование кода и механизмы самозащиты, реализованные в программе, позволили операторам Stantinko оставаться незамеченными на протяжении пяти лет.

Авторы Stantinko используют методы, которые нередко встречаются в АРТ-атаках. Тем не менее, их главная цель – финансовая выгода. Они предлагают услуги на доходном рынке компьютерных преступлений – обеспечивают ложные переходы по рекламным ссылкам (кликфрод). По оценкам White Ops и Национальной ассоциации рекламодателей (США), мировые издержки от кликфрода в 2017 году достигнут 6,5 млрд долларов.

Для заражения системы операторы Stantinko маскируют под пиратское ПО загрузчик семейства FileTour. Он устанавливает несколько программ, отвлекая внимание пользователя от загрузки компонентов Stantinko в фоновом режиме.

Далее Stantinko устанавливает два расширения браузера (The Safe Surfing и Teddy Protection) для несанкционированного показа рекламы, который приносит доход операторам. На момент исследования расширения были доступны в Chrome Web Store. Они выглядят как легитимные, но в рамках кампании Stantinko получают иную конфигурацию, предназначенную для кликфрода и показа рекламы.

Опасность Stantinko в том, что его возможности не ограничиваются генерацией трафика. Вредоносная программа позволяет операторам выполнять в зараженной системе широкий спектр действий:

от поиска до кражи данных (полнофункциональный бэкдор)
распределенный поиск в Google сайтов на Joomla и WordPress
взлом панелей управления сайтов путем перебора паролей (для последующей перепродажи)
мошенничество на Facebook: создание поддельных аккаунтов, лайки на страницах и фото, пополнение списка друзей (исследователи ESET пока не наблюдали вредоносной активности в соцсети).

Присутствие Stantinko в системе не заметно для пользователя, поскольку угроза не препятствует работе компьютера. Тем не менее, ботнет приносит убытки рекламодателям. Кроме того, полнофункциональный бэкдор открывает перед злоумышленниками широкие возможности для слежки за зараженными машинами.

Следующая главная новость »

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 29 Июня 2026 - 09:09

Общее Системы аутентификации МегаФон

Потерять доступ к MAX можно из-за СМС — они не доходят на допномер МегаФона

На Хабре рассказали историю, которая больше похожа на детектив с элементами корпоративной бюрократии. Из-за особенностей услуги «Дополнительный номер» от МегаФона пользователь лишился доступа к рабочему аккаунту в мессенджере МАКС.

Автор использовал виртуальный номер как отдельный контакт для службы поддержки клиентов — вполне логичная схема, чтобы не светить личный телефон и дать доступ коллегам.

Номер исправно работал несколько лет: на него приходили СМС-сообщения, звонки, через него были зарегистрированы Telegram и позже МАКС.

Но однажды российский госмессенджер неожиданно разлогинил аккаунт на всех устройствах. При повторной аутентификации код подтверждения не пришёл. Хотя обычные СМС и звонки на тот же номер продолжали доставляться без проблем.

Поддержка МАКС, по словам пользователя, сработала неожиданно быстро и попросила подтвердить у оператора, что сообщения не блокируются. Вот тут и началось самое интересное.

В «МегаФоне» заявили, что для дополнительных номеров доставка СМС от мессенджеров и соцсетей не гарантируется «по соображениям безопасности». При этом регистрация через такие номера раньше работала, а на сайте нет прямого запрета создавать на них аккаунты. Более того, пользователь утверждает, что никто не предупреждал абонентов об этих ограничениях.

Попытка перевести виртуальный номер в полноценную сим-карту тоже закончилась ничем — оператор сослался на отсутствие технической возможности.

В результате автор потерял личную переписку в МАКС и был вынужден заводить новый рабочий номер. Хорошо, что доступ к групповым чатам сохранился благодаря другим администраторам.

Главная претензия пользователя не столько к самому ограничению, сколько к отсутствию прозрачности. Если сервис не подходит для регистрации популярных мессенджеров, почему об этом не предупреждают заранее? И почему нельзя превратить давно используемый виртуальный номер в обычный?

По словам автора, в поддержку «МегаФона» уже направлены обращения с номерами 1507448966 и 1507521871. Теперь остаётся ждать, изменит ли оператор свою позицию или владельцам дополнительных номеров придётся смириться с тем, что однажды код подтверждения может просто не прийти.

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!