Il malware che clicca sulle pubblicità e aggiunge amici su Facebook

Una volta installato, Stantinko è in grado di mettere ''Mi piace'' sulle immagini, sulle pagine e addirittura aggiungere amici.

[ZEUS News - www.zeusnews.it - 27-07-2017]

Statinko è una rete di bot che crea profitti installando delle estensioni nei browser così da poter visualizzare falsi annunci pubblicitari durante la navigazione Web. Quando si installa su una macchina può effettuare un'enorme quantità di ricerche anonime su Google e creare degli account su Facebook che possono mettere "Mi piace" sulle immagini, sulle pagine e addirittura aggiungere amici.

Si tratta di una backdoor modulare che attraverso un complesso sistema di infezione spinge le vittime a installare due estensioni per il browser, "The Safe Surfing" e "Teddy Protection", entrambe disponibili sul web store di Google Chrome. Dopo aver completato l'infezione, gli operatori di Stantinko sono in grado di usare questi plugin per ottenere il pieno controllo del sistema compromesso.

Sondaggio

Hai mai acceduto a una rete Wi-Fi di qualcuno senza il suo permesso?

Leggi i commenti (3)

Queste estensioni sembrano a prima vista legittime ma, una volta installate, ricevono una configurazione differente che contiene delle indicazioni per effettuare numerose attività fraudolente, come effettuare ricerche anonime su Google per trovare siti sviluppati con Joomla e WordPress ed eseguire attacchi brute force su di essi.

Inoltre Stantinko inserisce annunci pubblicitari non desiderati (tra cui i famigerati abbonamenti a pagamento a servizi di telefonia mobile) e genera falsi clic, ottenendo in questo modo un ritorno economico da tutto il traffico fornito agli inserzionisti.

I plugin Safe Surfing e Teddy Protection sono in grado di inserire messaggi pubblicitari o dirottare la navigazione dell'utente. Matthieu Faou, ricercatore malware di ESET, ha dichiarato a Zeus News: "Questo permette agli operatori di Stantinko di essere pagati per tutto il traffico che riescono a generare su questi annunci. Abbiamo addirittura scoperto che gli utenti in alcuni casi vengono dirottati dagli annunci di Stantinko direttamente sul sito Web pubblicitario".

La capacità di Stantinko di evitare la rilevazione degli antivirus si basa su sofisticate tecniche di offuscamento e sulla possibilità di nascondersi dietro codici che sembrano legittimi; è difficile poi liberarsene perché ogni modulo da cui è composto ha la capacità di reinstallare l'altro nel caso venisse eliminato dal sistema.

Usando tecniche avanzate, il codice pericoloso viene crittografato in un file o nel Registro di Windows. Successivamente il malware lo decodifica utilizzando una chiave generata durante l'iniziale compromissione.

Il suo comportamento pericoloso non può essere rilevato fin quando non riceve nuovi componenti dal suo server di comando e controllo, il che rende estremamente difficile rilevarlo in un sistema infettato.

Una volta che una macchina è stata compromessa, il malware installa due servizi Windows pericolosi che vengono eseguiti automaticamente a ogni avvio del sistema. Per risolvere del tutto il problema, l'utente deve eliminare contemporaneamente entrambi i moduli.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (2)

Gladiator

E anche per individuarne la presenza se gli antivirus non sono in grado di identificarli, un antimalware ci può riuscire?
9-8-2017 14:31

{ninomastro}

Suggerimenti per eliminare entrambi i moduli?
28-7-2017 07:37

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(6 commenti) Meno popup fastidiosi: UE verso la semplificazione dei cookie	Maipiusenza(8 commenti) Google presenta il telecomando che non si scarica mai. La luce artificiale lo mantiene sempre carico

News(6 commenti)

Cloudflare spiega che cosa è successo. Tutta colpa di una configurazione

News(7 commenti)

Telemarketing aggressivo, operativo il filtro che impedisce lo spoofing dei numeri mobili

News(8 commenti)

Cloudflare in tilt. Migliaia di siti irraggiungibili, servizi bloccati in tutto il mondo

News(5 commenti)

Il PC desktop che si monta come i Lego: addio cavi, assemblaggio semplice

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

Wikileaks (con il suo fondatore Julian Assange)...