Уже 5 лет в рунете работает ботнет, обеспечивающий ложные переходы по рекламным ссылкам

Однако у него есть и масса других опасных возможностей, которые, в случае необходимости, могут навредить пользователям.

В сети обнаружили ботнет Stantinko, который специализируется на рекламном мошенничестве. В настоящее время заражено около 500 000 компьютеров, в числе жертв преобладают пользователи из России (46%) и Украины (33%). Stantinko – это сложная комплексная угроза, активная как минимум с 2012 года. Шифрование кода и механизмы самозащиты, реализованные в программе, позволили операторам Stantinko оставаться незамеченными на протяжении пяти лет.

Авторы Stantinko используют методы, которые нередко встречаются в АРТ-кампаниях. Тем не менее, их главная цель – финансовая выгода. Они предлагают услуги на доходном рынке компьютерных преступлений – обеспечивают ложные переходы по рекламным ссылкам. По оценкам White Ops и Национальной ассоциации рекламодателей (США), мировые издержки от кликфрода в 2017 году достигнут 6,5 миллиарда долларов.

Операторы Stantinko для заражения системы маскируют под пиратское ПО загрузчик семейства FileTour. Он устанавливает несколько программ, отвлекая внимание пользователя от загрузки компонентов Stantinko в фоновом режиме. Далее программа устанавливает два расширения браузера, The Safe Surfing и Teddy Protection, для несанкционированного показа рекламы, который приносит доход операторам. На момент исследования расширения были доступны в Chrome Web Store. Они выглядят как легитимные, но в рамках кампании Stantinko получают иную конфигурацию, предназначенную для кликфрода и показа рекламы.

Возможности Stantinko не ограничиваются генерацией трафика. Вредоносная программа позволяет операторам выполнять в зараженной системе широкий спектр действий: от поиска до кражи данных, распределенный поиск в Google сайтов на Joomla и WordPress, взлом панелей управления сайтов путем перебора паролей для последующей перепродажи, мошенничество на Facebook.