بدافزاری که 5 سال ناشناخته بود، 500 هزار سامانه کامپیوتری را آلوده کرد

 این بات‌نت که Stantinko نام دارد، از سال 2012 میلادی یک کمپین تبلیغ‌افزاری بزرگ را راه‌اندازی کرده بود. کمپینی که به‌طور ویژه کاربران ساکن در کشورهای روسیه و اوکراین را هدف قرار داده بود. برای آنکه این بات‌نت بتواند خود را از دید سامانه‌های ضدبدافزاری و امنیتی دور نگه دارد، از تکنیک رمزنگاری کدها و مکانیسم‌های دور زدن سامانه‌های ضدبدافزاری استفاده می‌کرد. همین موضوع باعث شده بود به‌مدت 5 سال ناشناخته باقی بماند. 
این بات‌نت برای جاسوسی از سامانه‌های قربانیان از ابزاری به‌نام FileTour استفاده می‌کرد. ابزار فوق این قابلیت را داشت تا برنامه‌های مخرب را از بستر اینترنت دانلود و روی سامانه قربانیان اجرا کند. این نرم‌افزارها بدون هیچ‌ مشکل خاصی در پس‌زمینه دستگاه قربانی اجرا می‌شدند. نرم‌افزار‌هایی که در پس‌زمینه دستگاه قربانی اجرا می‌شدند، به‌منظور نصب در‌های پشتی، جست‌وجو در گوگل و اجرای حملات جست‌وجوی فراگیر روی پانل‌های مدیریتی وردپرس و جوملا مورد استفاده قرار می‌گرفتند. حملات جست‌وجوی فراگیر عمدتاً به‌منظور دستیابی به گذرواژه‌های متعلق به حساب‌های کاربری و سرقت گواهی‌نامه‌ها مورد استفاده قرار می‌گرفت. 
بات‌نت فوق همچنین این توانایی را داشت تا افزونه‌هایی را روی مرورگر قربانیان نصب و در ادامه تبلیغات ناخواسته را از طریق تکنیک کلیک‌یابی به‌سمت مرورگر کاربران گسیل کند. اما برای آنکه فرآیند تزریق تبلیغات را با موفقیت به سرانجام برساند، اقدام به ساخت سرویس‌های ویندوز می‌کرد تا سطح بیشتری از تبلیغات به سمت قربانیان روانه شود. پس از آنکه دستگاهی آلوده می‌شد، در مرحله بعد بات‌نت دو سرویس مخرب ویندوزی را روی سامانه قربانی به مرحله اجرا درمی‌آورد. مکانیسم مورد استفاده از سوی دو سرویس فوق به این شکل است که هر زمان یکی از این سرویس‌ها حذف شود، سرویس دیگر به‌طور خودکار سرویس حذف شده را ایجاد و آن ‌را اجرا کند. در نتیجه برای پاک‌سازی کامل دستگاه قربانی ضروری است این سرویس‌ها به‌طور هم‌زمان از دستگاه قربانی حذف شوند. حذف هم‌زمان هر دو سرویس از آن جهت حائز اهمیت است که اگر یکی از سرویس‌ها حذف شود، سرویس دیگر درخواستی را برای سرور کنترل و فرمان‌دهی مبنی بر دریافت نسخه جدیدتری از سرویس پاک شده ارسال می‌کند. 

مطلب پیشنهادی

به‌کارگیری همزمان ضدویروس و ضدبدافزار

MalwareBytes ایده‌آل‌ترین مکمل برای ضد‌ویروس دیفندر ویندوز 10 است

افزونه‌های مخربی که از سوی این بات‌نت نصب می‌شوند، مرور امن (The Safe Surfing) و حفاظت تدی (Teddy Protection) نام دارند. این افزونه‌ها در فروشگاه وب کروم قرار دارند و این ‌گونه به نظر می‌رسند که برنامه‌هایی مشروع و قانونی هستند که قادرند نشانی‌های اینترنتی ناخواسته را بلوکه کنند و مانع باز شدن صفحات ناخواسته روی کامپیوتر کاربران شوند. 
با وجود این، زمانی که این افزونه‌ها از طریق بات‌نت فوق نصب می‌شوند، در ادامه از سرورهای کنترل و فرمان‌دهی تنظیمات و پیکربندی‌های خاصی را دریافت می‌کنند که به آن‌ها اجازه روبایش کلیک‌ها و نمایش ناخواسته تبلیغات را می‌دهد. بات‌نت Stantinko به یک ماژول در پشتی نیز تجهیز شده است که قادر است فایل‌های اجرایی متعلق به سیستم‌ عامل ویندوز را بارگذاری کند و در حافظه اصلی سامانه کامپیوتری قربانی قرار دهد. این فایل‌های اجرایی به‌طور مستقیم از سرور کنترل و فرمان‌دهی برای کامپیوتر قربانی ارسال می‌شوند.
به نظر می‌رسد هدف اصلی توسعه‌دهندگان این بات‌نت و بدافزارهای مرتبط با آن کسب درآمد به‌شیوه روبایش کلیک‌ها است. اگر چنین حرفی صحت داشته باشد، نشان می‌دهد که بدافزارنویسان به شرکت‌ها یا افرادی که محصولات تبلیغاتی آن‌ها روی سامانه‌های قربانیان به نمایش درآمده است نزدیک هستند. به‌واسطه آنکه زمانی که سامانه قربانیان آلوده می‌شود، قربانیان را به طور مستقیم به‌سمت سایت‌هایی که این محصولات در آن‌ها تبلیغ می‌شود هدایت می‌کند. جالب آنکه نویسندگان این بات‌نت به‌دقت حساب‌های مدیریتی متعلق به پلتفرم‌های جوملا و وردپرس را زیر نظر گرفته‌اند تا در صورت امکان گواهی‌نامه‌های متعلق به آن‌ها را به سرقت ببرند و در ادامه در دارک وب آن‌ها را به فروش برسانند.