2min

Tags in dit artikel

, , ,

Een al eerder bestaand botnet heeft zijn gedrag veranderd door om te schakelen naar cryptomining. Hiervoor gebruikt het YouTube als onderdeel van zijn proces. De verandering werd dinsdag ontdekt door veiligheidsonderzoekers van ESET.

De ontdekking gaat over het Statinko-botnet, dat sinds 2012 actief is, en eerder werd gebruikt als onderdeel van een grootschalige advertentiecampagne. Het botnet is vermoedelijk afkomstig uit het voormalige oostblok, aangezien het vooral gericht is op Rusland, Oekraïne, Wit-Rusland en Kazachstan, meldt Silicon Angle. Het botnet, dat naar schatting in totaal uit 500.000 computers bestaat, zou rond augustus 2018 zijn geswitcht van adware en andere vergelijkbare activiteiten naar de verspreiding van een cryptomining-module.

Botnets, Trojans en andere tactieken waarmee geprobeerd wordt om cryptominers op systemen te plaatsen zijn in principe niets nieuws, maar het Statinko-botnet gebruikt een unieke manier waarop het probeert te voorkomen dat het ontdekt wordt. Het gebruikt namelijk onder andere YouTube om detectie te ontwijken.

Xmr-stak

De cryptomining-module die door Statinko wordt verspreidt, is waarschijnlijk een zwaar aangepaste versie van xmr-stak. Dit is een populaire open source cryptominer, waarbij bepaalde onnodige code-strings en functies verwijderd zijn, om zo detectie te ontlopen.

Het gewijzigde script, dat CoinMiner.Stantinko wordt genoemd, gebruikt YouTube om proxies te definiëren in plaats van rechtstreeks te communiceren met een mining pool. De video’s die op YouTube worden geupload bevatten in hun omschrijving bepaalde coderegels, waardoor het script toegang krijgt om Monero te minen. Eerder werd er ook al malware ontdekt die het minen van deze cryptovaluta als doel heeft. Aangezien het script toegang heeft tot YouTube, zouden bestaande security-oplossingen de verzoeken meestal negeren, omdat toegang tot YouTube een normale activiteit is.

ESET-veiligheidsonderzoekers hebben contact opgenomen met YouTube en de betreffende video’s en accounts zijn verwijderd.