Stantinko – una puerta trasera modular ha infectado a más de 500,000 computadoras.

0
687
views

Apróximadamente 500,000 usuarios tienen sus computadoras infectadas con un malware muy sigiloso llamado Stantinko, según un reporte publicado por Slovak antivirus ESET.

El malware es un troyano con capacidades de backdoor avanzadas, pero según ESET, sólo se ha utilizado para interceptar resultados de búsqueda y algunas veces para atacar sitios de WordPress.

A pesar de que se enfoque en el adware, Stantinko es un malware de alta calidad.

Stantinko contiene códigos muy avanzados para sus propósitos, los investigadores de ESET lo clasificaron como “modular backdoor” en vez de un adware.

Esto se debe a que Stantinko utiliza un sistema de infección complejo, un mecanismo de persistencia de arranque y un conjunto de varios plug in que permiten a sus operadores ejecutar una gran cantidad de acciones en el host infectado.

La prioridad de Stantinko es que su entrada debe ser a través de software pirata o crackeado, usualmente se esparce por torrents. Un truco de los operadores de Stantinko es que mienteras se instala el software pirata, llama la atención de la víctima ofreciéndole instalar otros programas que no tienen nada que ver con el programa, pero aún así se instalan.

Mientras la víctima es distraída con esas aplicaciones no deseadas, Stantinko va instalando el código malicioso al mismo tiempo:

Mientras Stantinko va instalando el malware, se instalan también dos servicios de windows, si un antivirus detecta uno de los dos servicios, uno re-instala al otro, así ocasionando que Stantinko sobreviva más en la computadora infectada.

El malware usaba una variedad de trucos para evitar se detectado por antivirus por casi 5 años. Investigadores explican que posiblemente el código del malware fue dividido en dos partes, con comandos escondidos para los investigadores de seguridad.

Apesar de los componentes avanzados de Stantinko, sus operadores nunca se interesaron en utilizar su malware en otros lugares, sólo en adware.

Su función principal es instalar dos extensiones en Google Chrome una llamada “Teddy Protection” y otra “The Safe Surfing”, ambas con “protección infantil y filtros de web” pero en realidad, interceptan las acciones del usuario cada que buscan algo en el navegador.

Aquí un video para explicarlo de mejor manera;

Stantinko ha atacado alrededor de 500,000 usuarios, la mayoría de Rusia y Ucrania, entre otros países europeos.

Para más detalles, visitar el reporte de ESET en la siguiente página: Stantinko – Teddy Bear Surfing Out of Sight.

 

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop